CMS(Contents Management System/コンテンツマネージングシステム)には、WordPressを筆頭にJoomla!, Drupal, Concrete5, Movable Type等々があります。あとWixも。

CMSの世界でWordPressのシェアは約60％。もう、CMSの世界ではWordPressの独走状態。

Wixはネット広告を中心に広がりつつあるようですけど、Wixは困った問題もあります。Wixは独自ドメインの設定が不可、ページデザインに限界有り、SEOが難しい、モバイル対応に限界がある等の問題があります。

何か特別な理由がある場合を除いて、テンプレート、プラグインの拡張性と自由度を考えたらWordPress一択でいいと思います。

ここまで普及してきたWordPressの関連記事はネット上に星のように存在します。

レンタルサーバーにWordPressとMySQLをインストールすれば、あとはプラグインを選んでインストールしていくステップに入ります。

ここで、真っ先にインストールしたいのは、外部攻撃からWordPressを守るプラグイン。有名なプラグインとして「SiteGuard WP Plugin」。

WordPressのSiteGuard WP Pluginの特徴

ここまでWordPressが普及してくると、比例してWordPressが外部からサイバー攻撃を受けるリスクが高まります。

ニュースでWebサイトがDDos攻撃を受けたという報道を時折見ることがあります。Windowsが普及したから、それを狙うハッカーが増加したように、WordPressが普及すれば当然、狙われやすくなります。

Windowsマシーンにウイルスソフトが入っていないと、それはあまりにも危険。もちろん、Windows10にはデフォルトでWindows Defenderが入っていますが。

WordPressも同様で、WordPressをサイバー攻撃から守るプラグインとして「SiteGuard WP Plugin」を使用している管理者が結構多いと思います。

では、「SiteGuard WP Plugin」の特徴を箇条書きしてみます。

【1】ログイン画面にひらがな画像認証機能が追加される。

⇒ロボットと日本語圏以外からのサイバー攻撃に対して効果的。

WordPressログインページ

【2】ログインに何回か失敗すると、ログインがロックされる。

【3】XML-RPCを狙った攻撃に対して無効化機能が搭載されている。

⇒XMLRPCを使用した不正ログインに対するプロテクト機能。

WordPressへの不正ログインを防止するためには、「SiteGuard WP Plugin」のようなプラグインが必須です。

不正ログインの履歴を発見！

以下は、管理人が管理しているブログのプリントスクリーン画面。ちなみに、当ブログではありませんよ。

「SiteGuard WP Plugin」のログイン履歴です。怪しいアクセスがログとして記録されていました。

SiteGuard WP Pluginのダッシュボード

SiteGuard WP Pluginの管理画面

ログイン履歴に怪しい不正ログイン履歴

SiteGuard WP Pluginログイン履歴（不正ログインの痕跡）

SiteGuard WP Pluginログイン履歴（不正ログインの痕跡）

スマホでは上のプリントスクリーンの文字が見えないと思いますけど、PCなら分かります。

青文字で「結果」の下に「ロック」と「失敗」の文字が確認できます。そして青文字で「IPアドレス」と「タイプ」が確認できます。

「タイプ」の下に「XMLRPC」の履歴があります！

2018/09/09、05:30:31～05:30:31の1秒間に3回の不正アクセスが確認できます。これは、ロボットによる不正アクセス。

この不正アクセスはブルートフォースアタック（総当たり攻撃）と呼ばれ、ログインIDとパスワードを自動で組み合わせで不正ログインするもの。

もし、WordPressにセキュリティ対策をしていない場合、最悪、ログインIDとパスワードを突き止められてパスワードを変更されたらThe End。そのブログは第三者に乗っ取られてしまいます。

念のために言っておきますと、上の画像はプラグインの画面をPrint Screenしたものでヤラセではありませんよ。

ちなみに、当ブログもSiteGuard WP Pluginを使用しています。ログイン履歴をチェックすると、過去にロボットによる不正アクセスが何回も確認できます。

このことからも、WordPressでブログを立ち上げている以上、ロボットがネット上を徘徊し、WordPressに対して自動で不正アクセスを繰り返していると考えていいでしょう。むしろ、不正アクセスが無いWordPressブログが少数派かもしれません。

SiteGuard WP Pluginは必須

今回、たまたま「SiteGuard WP Plugin」のダッシュボードを開いてログイン履歴を眺めていて、今回の不正アクセスが発覚しました。結果的に「SiteGuard WP Plugin」をインストールしておいて良かったわけです。ほっと胸を撫で下ろしました。

万一、攻撃者がログインに成功してしまったら（汗）、最悪WordPress内のデータ改ざんやパスワード変更等の被害を受ける可能性も十分考えられます。

SiteGuard WP Pluginのインストールと設定

「SiteGuard WP Plugin」のインストールと使い方、設定方法は検索すれば関連ページがいくつもヒットします。このページで同じ内容の説明記事を書いても、みんなで合唱してしまいますから割愛します。

このように検索してみてください。

「SiteGuard WP Plugin　使い方」

WordPressのセキュリティを高めるために

今回、改めてWordPressのセキュリティ管理の重要性を再認識できました。

WordPressのようなCMSは「ログインURL」と「ユーザー名」「パスワード」を把握している管理者がどこにいても、PCとネット回線さえあればログインして記事の更新やメンテナンスが可能です。

言い換えますと、有名なCMSは狙われやすいのです。WordPressのセキュリティ管理のために、最低限の管理は必須ですね。

・最新のWordPressを使用する。

・プラグインを最新状態に保つ。

・SiteGuard WP Pluginのようなセキュリティプラグインを必ずインストールする。

・WordPressのログインパスワードを変更する。

WordPressのパスワードを変更

今回、気味が悪い不正アクセス履歴を発見したこともあり、大事を取ってWordPressのログインパスワードを変更しました。WordPressのログインパスワードの変更はとても簡単。

WordPress管理画面の[ユーザー]>[あなたのプロフィール]

WordPress管理画面の[ユーザー]>[あなたのプロフィール]をクリック。

WordPress管理画面の[ユーザー]>[あなたのプロフィール]をクリックします。

WordPressのパスワード変更方法

WordPressのパスワード変更方法

アカウント管理の新しいパスワード>[パスワードを生成する]ボタンをクリックしてNewパスワードを設定します。

最後に

ネット検索すると、WordPressのプラグイン関係の情報ページが星の数ほどヒットします。便利なプラグインが数多いため、あれこれと目移りしてしまうかもしれません。

しかし、あれこれとプラグインをインストールすると、ページのダウンロードスピードが遅くなる傾向があります。また、プラグイン同士のコンフリクト（相性の悪さが起因する動作不具合）が発生する可能性もあります。

個人的には、Wordpressのプラグインは必要最小限に抑えて、なるべく増やさない方がいいと思います。

あとページの装飾に凝ってプラグインをインストールすると、これもページのダウンロード速度に影響を与える場合もあります。

CMS系は静的なhtmlページより表示速度が重くなる傾向がありますから、SEOを含めてバランスを考えたいもの。

ページデザインと装飾は管理者の好みながら、あれこれとプラグインをインストールするのはデメリットもあるので慎重に考えたい。