無知とは怖いもので、毎日楽しくルンルン♪ブログ生活を送っているものと思い込んでいました。勉強すればするほど、怖い現状を見ることに…WordPress初心者の方は是非最初に読んでいただき、私の二の舞にならないように願っております。
やってしまった・・・
そんなの知らないし・・・
誰か先に言ってよ~
やっぱり勉強って大事だね!
目 次
事件File① セキュリティって何それ??
WordPressで記事を公開して約1週間が過ぎたころから、少しずつWordPressについての勉強を始めていくことにしました。最初に気になったのは、もともとインストールされているプラグインって必要なの?ということです。プラグインとは、外部のプログラムを追加することで機能を拡張できるようなソフトのことです。
プラグインとは?を勉強するつもりが、「Wordpressは脆弱?!」「セキュリティをしっかり?!」次々に不安を煽る記事が目に飛び込んでくるではありませんか。それまでは、新しく始まったブログの世界に、毎日ルンルンとした気分でいたのですが、天国から地獄とはこのことか、どうしたらいいのかわからない「セキュリティ」という6文字にただただあたふたするばかりでした。
そして、私がとった行動は、「セキュリティをきちんと設定するまでは、インデックスは非表示に設定にしておきましょう。」という記事を見つけ、慌てて非表示へ変更。Googleサーチコンソールの設定が無事終わり、ようやくGoogle検索でサイト名がヒットするようになった矢先、インデックス非表示で再度ふりだしに戻った事件でした。
こう対応したよ ☛ File① どうすればよかったのか? 5つの対策で危機回避!
対策1 セキュリティ設定が終わるまで、検索エンジンの表示をしない。
セキュリティを設定する前にSEO対策を進めてしまうと、あなたのサイトが攻撃対象になってしまいます。
【設定】→【表示設定】→【検索エンジンでの表示】
対策2 プラグイン「Edit Author Slug」をインストールし、IDを表示できない設定に変更
WebサイトのURLの後ろに「/?author=1」と入力しenterキーを押してみてください。すると、バッチリ自分のIDが表示されました…この時点でもう撃沈でした。
先にSEOを意識しGoogleアナリティクスなどは設定していましたので、海外からばかりアクセスがあっていたのを知っていました。それまでは間違い?と思っていましたが、もしかして、セキュリティが甘いサイトを探している不正アクセス??と、一気に恐怖の気持ちがこみ上げてきました。
プラグイン【 Edit Author Slug 】を追加→有効化
【ユーザー】→【プロフィール】→一番下に表示される【投稿者スラッグ】→IDではないものへ変更
対策3 パスワードを複雑なものに変更
WordPress管理のログイン画面は世界共通ですので、対策2の方法でIDが分かれば、あとはパスワードだけで簡単に乗っ取られてしまいます。ブルートフォース(総当たり)攻撃といわれる不正ログインの手法では、考えられるパスワードのパターンを順に何度も繰り返し行い、ログインされるまでは時間の問題と言われています。
必ず、英字+数字+記号(20文字以上)に変更しましょう。
対策4 セキュリティプラグインをインストール
IDとパスワードの対策は必要ですが、やはりそれだけでは不十分です。私は「SiteGuard WP Plugin」というプラグインをインストールしました。
このプラグインは、
①管理ログイン画面のURLを変更してくれる
②管理画面のアクセスを制限してくれる
③ログイン時の画像認証(ロボットではありませんという確認、見たことがありますか?)を日本語でしてくれる
④不正ログイン履歴が見れる
など、1つのプラグインで複数の対策ができるところに魅かれました。
早速、「不正ログイン履歴」を見てみると、私ではないIPアドレスからログイン「失敗」「失敗」「成功」、「え?2件くらい「成功」がありますけど・・・」
少し心配にはなりましたが、不正な記事の投稿やログインできないなどの問題はなく、最近は不正アクセス自体もないようなので、様子見しているところです。Googleアナリティクスでも、海外のアクセスが一気に減りました。日本のアクセスはほとんどなかったので、実質0状態、、、それはそれで少し寂しい気もしますが、気持ちを入れ替えてブログを書くことに専念したいと思います。
プラグイン【 SiteGuard WP Plugin 】を追加→有効化
対策5 プラグインは常に最新のものへ。不要なプラグインは削除!
プラグインは、色々な機能がありとても欠かせないものですが、プラグインの脆弱性をつかれハッキング等の原因になることがあるそうです。プラグインの更新表示が出た場合は速やかに最新化し、使っていないプラグインは削除しておくようにしてください。
おまけ 結局最初に調べたかったプラグイン「Akimsit」とは?
プラグイン「Akimsit」は、不正なコメントがあった際にはたらくものでした。コメントを使わなければ不要とのことでしたが、今後のことも考えて「有効か」しました。コメントを使用する際も、IDを表示させる方法があるようですので、コメントを使用される方はご注意ください。私は、セキュリティには痛い目にあいましたので、もう少し勉強が追い付いてからコメント機能を使用したいと考えております。
また、もともとインストールされている他のプラグインについての説明は、後日記事にしたいと思います。今回はセキュリティに関係するものにしぼりました。
事件File② レイアウトが崩れた、、、初期化したら設定が一からやり直しに
原因は未だにわかってはいないのですが、デフォルトの「HelloWorld」の記事を削除すると、サイドバーのレイアウトが崩れてしまいました。色々試しましたが全く原因が分からず、ネット検索で「プラグインが原因??」との記事を見つけプラグインをすべて「無効化」するものの、崩れたレイアウトはかわらず、、、
最終的にプラグインで初期化をしてしまい、数日かけてやった設定が一からやり直しに。この日ほど、もうブログをやめたいと思った日はありませんでした。
こう対応したよ ☛ File② 今後に備えて
備え プラグインのインストールや更新前はバックアップをとる。
プラグインのインストール前や更新時は必ずバックアップをとるようにし、こまめにホーム画面をチェックするようにしました。何が原因でレイアウトが崩れたのかを確認できるようにすることが大事だと思います。
私は、プラグイン 「BackWPup」 をインストールし、毎週月曜日の定期保存と、プラグインをインストールや更新前に手動で保存をしています。
今回は、カスタマイズを全くしていない状態のレイアウトの崩れでしたので書いておりませんが、カスタマイズされる場合は、親テーマを使わず子テーマを使うということも覚えておきましょう。親テーマのアップデート時に上書きされてしまいます。
プラグイン【 BackWPup 】を追加→有効化
事件File③ サイト名の一部を検索してみたら、「投資詐欺か?」がトップ記事に。
サイト名はブログを始める前から決めており、まさかこういうことが起こるとは考えてもいませんでした。
ブログを開始してしばらくたってからのことです。そろそろGoogle検索に引っかかるだろうかと気になり、私のサイトに関係する「副業」とサイト名の一部「コレカラ」で「コレカラ 副業」と検索してみました。
すると「コレカラは投資詐欺か?」というような記事がずらっと出てくるではありませんか。
しばらくはとても落ち込みましたが、サイト名とドメイン名も合わせていましたし、色々な設定をまた一からとなると、今度は本当にやめてしまいそうでしたので、今回はあきらめることに。
こう対応してね ☛ File③ これからブログを始める人は
サイト名は、自分の名前と同じで、ずっと付き合っていく大事な名前です。名前を悪く言われるのは本当に嫌ですよね。これからブログを始めようと思っている人は、サイト名の案が決まったら、必ず一度Webで検索してみてください。似たような名前がないか、いやな気持になる記事はないか、しっかりチェックして、是非後悔のないようにしてほしいなぁと思います。
