通信環境の整備
ゼロトラスト —— インターネットなんて信用できない! —— ではなくて (^_^;、安全でない通信において安全な通信環境を構築する考え方のことです。IT用語って難しいですね。
ゼロトラスト環境の肝は『暗号通信』にあり、通信の暗号化が絶対です。
ハードウェア面においては、パソコンからの通信をWi-Fiにしてしまうのが効果的です。Wi-Fiの通信方法は、WPA3(Wi-Fi Protected Access 3)だったら大丈夫だと思います。機種でいうとWi-Fi6以上です。古い機種から設定を移行させると、古い通信方法がそのまま残っていることがあるので、ドライバーをアップデートすることを忘れないようにしましょう。
ハードウェア面のセキュリティー
まず、パソコンを置く位置を工夫します。パソコン画面が窓の外を向いていないように設置しましょう。外から画面をのぞき見られないようにするためです。
またパソコン・スマホはともに画面ロックをかけるようにしましょう。離席時のセキュリティーを上げるためです。ただしパソコンの画面ロックにはスマホのようにボタンひとつで行えるものではないので、設定や操作の仕方に注意が必要です。
Windowsの画面ロックの仕方は以下の通りです。
ソフトウェア面のセキュリティー
WordPressはプログラムがオープンソースでネット上に公開されており、セキュリティー上の脆弱性が発見されるとすぐに注意喚起も行われるので、コンピューターウイルスが仕込まれにくい環境にあります。外部から常時ウイルス対策ソフトが働いている状態ですね。
模式図で表すとこんな感じです。
注意しなければならないのは、サーバーのセキュリティーを高めたからといって、WordPressサイトのセキュリティーを高めたことにはならないという点です。ログイン画面が別々に存在しているためです。二段階認証(2FA)を設定する場合、それぞれに2FAの設定をしていく必要があります。
基本的な対策は以下の通り。
1.サーバーのセキュリティーはできるだけ高くする
2.サイトへのログインはパスワードレスにする
3.メールはスマホにメール通知が届くものにする
自身のサイトへのアクセスを一発起動にし、かつ、セキュリティーも高いものを構築していきます。またメールは通知がスマホに届くようにし、即応体制を整えます。
ではここで、私がオススメしているWordPress.comとConohaWINGの対策例を紹介しましょう。
WordPress.comのセキュリティー
WordPress.comはパスワードレス環境なので、2FAの設定も特に必要がないと考えられます。でも2FAも一度認証に成功すると次回から認証を求められないので(完全パスワードレス環境)、設定をしておいても損はないと思われます。パスワード漏洩に対するセキュリティーが向上します。
契約時点での設定をそのまま使っても大丈夫な感じですね。
ナビに従うだけで強力なゼロトラスト環境が構築できます。
ConohaWINGのセキュリティー
レンタルサーバーはもともとWordPress専用にできている物ではないので、設定がWordPressに合ってないものがあります。細かく見ていく必要があります。たとえば、海外コメントを拒否する設定などです。グローバル化の波に逆らっている感じですよね (^^;。
またどのサーバーを見てみてもパスワードレスではない感じで、サーバーから自分のサイトにアクセスするのが面倒です。でもサイトへの直接アクセスはパスワードレスにすることが可能なので、サイトの設定をしっかりとみて、変更するべきところは変更して、2段階認証などでセキュリティーを高めたのちに閉じてしまうといいでしょう。
WordPressサイトのセキュリティー
1.サイトのSSL化
WordPress.comは初期ドメイン・独自ドメインともに最初からSSL/TLSの暗号通信が行われているので問題ありません。
ConohaWINGの初期ドメインも、契約時にこの暗号通信が設定されているので問題ないです。独自ドメインのほうは、他のサーバーからサイトを移行してきた場合に暗号化が行われていないことがあるようです。具体的にはアドレスバーの『https://~~』から始まる文字列が『http://~~』になっています。確認してみましょう。
まず管理画面URLからWordPressにログインします。ログイン画面が出てくるので、IDとパスワードを打ち込みます。このログイン画面が不安定になる時があるので(ストレージが満杯になっている時に起こる)、先に『ログイン状態を保存する』のチェックボックスにチェックを入れてからID・パスワードを入力する習慣をつけると良いでしょう。
WordPressにログインできたら、下の『設定』をクリックして、『一般設定』を表示させます。WordPressアドレスやサイトアドレスが『http://~~』で始まっていたとしても、上のアドレスバー()が『https://~~』になっていれば暗号通信は行われています。変更の必要はないのですが、気になる人は変更しましょう。
ConohaWINGにはボタン一つでサイトアドレスとデータベースを暗号通信化してくれるものがあります。『かんたんSSL化』と呼ばれるものです。このボタンが水色になっていたら、迷わずボタンを押しましょう。
2.サイトを『お気に入り』に登録
自分のWordPressサイトを『お気に入り』に登録しておくと、ダイレクトにWordPressサイトにアクセスできるようになります。サーバーにアクセスするごとに2段階認証をするのは面倒ですので、お気に入りからアクセスするようにしましょう。
レンタルサーバーを経由しなくとも、WordPressサイトにはアクセスできます。
WordPress.comは初期ドメインがサーバーの管理画面にもなっています。
WordPress.comの場合は左上のWordPressロゴ『』かホームボタン、ConohaWINGなどのレンタルサーバーの場合は管理画面URLをクリックすると『ダッシュボード(管理画面)』が表示されます。ここをお気に入り登録します。Microsoft Edgeでも、Google Chromeでも、やり方は同じです。★印をクリックします。
これでブラウザのお気に入りから直接WordPressサイトにアクセスできるようになりました。
さらにデスクトップにこのアイコンを置きましょう。
Google Chromeだとドラッグ&ドロップでデスクトップにアイコンが置けます。
Microsoft Edgeではなぜかこれができないので、コンピューターのCドライブの『ユーザー』フォルダの『お気に入り』に入っていって、アイコンをコピペしてもいいですし、アプリとしてデスクトップに置いてもいいと思います。Edgeにはサイトを単体アプリとして起動させる機能があります。
これがすんだら、スマホのほうにもWordPressサイトのアイコンを設置します。
これが意外に面倒です。
本来なら、Google Chromeから管理画面にアクセスして、アイコンをホーム画面に設置したいところなのですが、サイトを公開していないとGoogleがその存在を認識していないのでアクセスできません (*_*)。サイトを公開しても認識されるまでしばらく時間がかかってしまうことでしょう。ちなみに、初期ドメインはサーバーのサブドメインなので、認識されるまでに相当な時間がかかってしまいます。
しばらくはスマホにアイコンを置かない、でもいいと思います。
自分のサイトがGoogleに表示されだしたら、ホームにアクセスし、アドレスバーの末尾に『/wp-admin』の文字列を追加してEnterキーを押すと、ログイン画面が表示される。
そこにID・パスワードを入力して(2段階認証もパスして)管理画面にアクセスしたら、右上の3点リーダーをタップして『ホーム画面に追加』をタップすると、以後は直接WordPressサイトにアクセスできるようになる。
スマホのホーム画面にアイコンを設置したい場合は、まずサイトの存在を認識させるために、WordPressにセキュリティープラグインのJetpackをインストールすると良いでしょう。Jetpack.comがサイトを認識する方法を、手動でやっていきます。WordPress.comのユーザーは最初に行っているものです(WordPress.comユーザーはこちらにジャンプ)。
まずはパソコンから操作していきます。
WordPressは拡張機能として『プラグイン』というものがあり、様々な機能をWordPressに追加してくれます。無料と有料があります。まずは無料で使ってみて、良いものだったら有料にバージョンアップすると良いでしょう。
Jetpackは有料バージョンだとセキュリティーが高まり、サイトの宣伝能力も高くなります。
上のどちらからでも行けます。
どのプラグインも、『今すぐインストール』のボタンを押して『有効化』を押したら使えるようになります。それで全てが終わるプラグインもありますが、Jetpackのように設定画面に移動するものもあります。
設定画面で初期ドメインのサイトを認識させます。
緑の『承認』を押すとJetpackと連携が始まり、Jetpack.com側にサイトの存在が認識されます。『Jetpackと連携しました』のバナーが出たら、下にスクロールして『Jetpack無料版で始める』をクリックします。すると『ダウンタイム監視』の設定などができていますが、後からいつでも設定できるので『後で』のボタンを押して最後の画面を表示させたら終了です。
このあと、スマホのほうのJetpackウェブサイトビルダーをタップして起動させ、まず自分のサイトを登録します。
GoogleのSmartLock(パスワードマネージャー)はサイトのURLをうまく認識してくれないようなので、で『上記以外』をタップし、で初期ドメインのサイトアドレスを打ち込みます。パソコンの管理画面から『https://』と『/wp-admin』の間にはさまれた文字列を打ち込みます。このサイトは独自ドメインなので『michirojohn1.com』だけでいいです。サイトを始めたばかりの場合は初期ドメインなので(レンタルサーバーのサブドメインになっている)、サーバーのドメインごと打ち込む必要があります。ConohaWINGだと『サイト名.conohawing.com』になります。
つづく、のユーザー名・パスワードはGoogleアカウントが候補を表示することがあります。
されたら楽チンですね?!
そうしてスマホでのWordPressの管理画面が表示されたら、下のほうにスクロールして『WP管理画面』の文字をタップします。するとパソコン版のWordPressの管理画面(ダッシュボード)が表示されるので、それをホーム画面に登録します。
レンタルサーバーのWordPressユーザーは初期状態でJetpackウェブサイトビルダーのほとんどの機能が使えません。機能をフルに使えるようにするためには、まず自分のサイトにセキュリティープラグインのJetpackをインストールして、そのうえでWordPress.comの無料アカウントを作成してJetpackウェブサイトビルダーに登録し、そこからサイトを追加する形で自分のサイトを加える必要があります。それでスマホのホーム画面にアイコンを置く必要はなくなるのですが、パソコン版の管理画面(ダッシュボード)のほうが使い慣れると使いやすかったりもします。しかしこの場合、『WP管理画面』への行き方が少し違ってきます。
WordPress.comユーザーもこの方法でスマホのホーム画面にパソコン版のWordPressを登録することができます。上の方法でパソコン版の管理画面にアクセスしようとすると、GoogleのSmartLock(パスワードマネージャー)が出てくる上にアクセスに失敗してしまったり (-_-;、別の方法としてGmailで確認を取る方法があるんですけど、それで成功してもパソコン版とは少し違う管理画面が表示されたりします。
WordPress.comユーザーはJetpackウェブサイトビルダーをそのまま使うのがオススメです。
スマホ版のWordPressの使い方に慣れるようにしましょう。
3. サイトの2段階認証
WordPress.comユーザーは、これまでに2段階認証を設定していれば初期ドメインのサイトにそれが適用されるので問題ないです。パスワードレスかつ高セキュリティーの環境になっています。
レンタルサーバーのWordPressは、サーバーに2段階認証を設定してもサイトに2段階認証を設定したことにならないので、さらにもうひとつ2段階認証をプラグインをインストールして設定していく必要があります。
2段階認証を設定できるセキュリティープラグインはいくつかありますが、私がオススメするのは圧倒的にWordfenceです。Jetpackよりもセキュリティー機能が高く、
1. 不審なアクセスに確認のメールを送る
2. サイトが表示できなくなると警告のメールを送る
3. 全てのWordPressサイトを30日間パスワードレスにできる
といった機能があります。無料バージョンでも十分に高機能なのですが(GoogleアカウントやMicrosoftアカウントと同じレベルのセキュリティーがある)、無料バージョンではウィルス対策が30日遅れるという制限があります。ウイルス対策は最新のものでないと効果が薄いので(自身のウイルス対策に自信があれば別 (^^;) 、有料バージョンにアップグレードすることが勧められるプラグインです。安い物で年に1000円強しかかりません。それで最新のセキュリティーとリアルタイムIPブロックが手に入ります。
永久にパスワードレスにできないのが残念な部分ですかね。それ以外はJetpackよりも性能が上です。レンタルサーバーのJetpackはパスワードレスにはできないので(そもそもJetpackにそのような機能がない)、第一選択がこのWordfenceになります。
WordPressの管理画面から、『プラグイン』をクリックし、『新規プラグインを追加』をクリックしたら、キーワードのボックスに「wordfence」と打ち込むと、プラグインのWordfenceが表示されるので、『今すぐインストール』をクリックし、『有効化』のボタンに切り替わるまで待ちます。『有効化』のボタンを押すとWordfenceが使えるようになります。
その下に『Wordfence Login Security』というプラグインもあります(オレンジ色の枠)。これはWordfenceの2段階認証とreCAPTCHAの機能を追加してくれるプラグインで、Jetpackのセキュリティー機能を使いながらWordfenceの30日間パスワードレス機能を使いたい場合に便利です。Jetpackの最新セキュリティーにWordfenceの30日間パスワードレスが組み合わせられます。ただしWordfenceのログインセキュリティーが使えなくなるので、不審なアクセスへの確認メールやサイトが破壊された際の警告メールが届かなくなり、セキュリティーレベルが下がります。
ただ、JetpackとWordfenceの双方のセキュリティーを使うと少し重くなるので、Jetpackにセキュリティー機能をまとめる際の第二選択のプラグインになります。覚えておきましょう。
あと、WordPress.comユーザーには『Wordfence』は必要ありません。すでにパスワードレス環境であるからです。不正アクセスに対する脆弱性がありますが、2段階認証を設定しておくと、そうそう打ち破られるものでもありません。Jetpackのアクティビティーログには全てのアクセスが記録されており、不正アクセスを知ることもできます(ただしメールで通知されないので、こまめに自分で見に行く必要がある…)。
Wordfenceを有効化したら、2段階認証を設定していきます。
左上のWordPressロゴ『』をクリックすると管理画面に戻れるので、そこからスクロールして『Wordfence』をクリックし、『ログインセキュリティ』をクリックすると2段階認証の画面が現れてきます。それを画像としてキャプチャーします(Windowsなら ++ 、MACなら『Shift + ⌘ + 4』)それを保存したのちに画像を開いて、その画像のQRコードをAuthenticatorで読み込みます。
Wordfenceの2段階認証の設定はこれで終わりです。有効化に成功すると『リカバリーコードをダウンロードしますか?』との質問が返ってきますが、これはダウンロードしなくても大丈夫です。画像として保存したものの中にリカバリーコードがあります。大文字の『O』がないリカバリーコードなので、とても分かりやすいですね。
次に30日間パスワードレスにする設定を行います。
設定を保存すると終了です。そして次回ログインした際に2段階認証を求められてくるので、その際に『30日間保存する』をチェックします。
設定項目の下には『XML-RPCコールの認証に2FAを要求する』という設定があり(オレンジ色の枠)、これはログインの際に2段階認証を実施させる設定です。これを『対応不要』のほうに切り替えて『を保存』をクリックするとログインの際に2段階認証が要求されなくなります。2FAを理解しないJetpackウェブサイトビルダーにサイトを組み込む際に便利な機能です。
これで一時的に2段階認証を停止させてJetpackウェブサイトビルダーにサイトを組み込んだら『必須』のほうに切り替えて『を保存』をクリックすると、また2FAで守られたサイトを継続させることができます。覚えておきましょう。
2段階認証の設定がすんだら、次はログイン回数制限の設定を行います。
じつはこのWordfence、初期値で20回ログイン試行が試みられるので、reCAPTCHAレベルです (^^;。
変えていきましょう。
ログイン試行回数は5回、ブロック期間は1日ですかね。サーバーのブロック回数より少なく設定したほうが問題ないように思います。ちなみにConohaWINGだと10回、WordPress.comだと5回です。ログイン試行回数をこれより少なくしたら、先にWordfenceのブロックが発動されて、設定したブロック期間だけアクセスがブロックされます。
これでWordfenceの設定は終了です。ブルートフォース攻撃に苦労するハッカーたちの姿が見れて、なかなか楽しめるようになります。
ブルガリアの某はIPアドレスを変えながら、だんだんとこのサイトのログイン回数制限に気付いていっているようだった。Windowsのロック画面と同じく3回でロックアウトされると思っていたらしい。
それが分からないと、ルーマニアの某のようにバッチ処理で連続攻撃を同日内に繰り返すようになる。reCAPTCHAの画像認証を成功させるAIでも使っているのか、50回以上もアクセスしている。
これでWordPress.comのサイトよりも強力なセキュリティーを持つサイトが作成されました。
サーバー側のセキュリティーがイマイチなのが残念なところですね。
ConohaWINGなら『ログイン通知』があるので、不正アクセスには気づきやすいです。
その点ではWordPress.comより優れていると言えるでしょう。
ユーザー側のセキュリティー
WordPressの設定は以上で終了です。要はAuthenticatorなどを使って2段階認証を設定すればゼロトラスト環境の出来上がりという次第です。Googleアカウントなど、多くのネット環境がそのようになっています。しかしネット環境によって個体差があるので、それぞれを細かく見ていったほうが身のためというのがこのページの趣旨です。初期設定が最適であるかといえば、それは違うというのが結論になってしまうのが分かると思います。
また最高レベルのセキュリティーを構築できても、ユーザーが不用意な行動をとってしまうと情報漏洩やハッキングが起こります。では最後に、ユーザーが取るべきセキュリティーのための行動をまとめておきましょう。いくつは文中に書かれているものです。
1. 最高のセキュリティーは頭の中
2. 席を離れる時は画面にロックをかける
3. 可能な限りパスワードレス環境を構築する
4. 重要情報はアップロードしない
5. AuthenticatorのQRコードはバックアップしない
6. 不明なURLをみだりにクリックやタップしない
7.プラグインやテーマは自動更新しない
8. 脆弱性の見つかったテーマやプラグインは無効化する
9. 不正アクセスされた場合はすぐにパスワードを変える
サイトへのアクセスは可能な限りパスワードレス環境を利用しましょう。ソーシャルログインやJetpackログインなどです。なんでもタイピングの仕方からID・パスワードを割り出す方法があるらしく、直接入力よりもパスキーなどを使ったほうが安全だと思われます。ブラウザのクッキーからの入力でも大丈夫だと思います。よく見るやつですね。
ハッカーは、サイトアクセスから貴方のIPアドレスを割り出し、IPアドレスから貴方のサイトのURLを割り出して総当たり攻撃を仕掛けてくると考えられます。Wordfenceなどのセキュリティーレポートを見ると、IPアドレスが簡単に割り出せてしまうのが分かります。Wordfenceからのメールを見てみると、使用しているインターネットプロバイダーまで判明するのが分かります。
これがハッカーが最初に知りうる個人情報の範囲です。
メールで送られてきたURLを安易にクリックしてハッカーのサイトに飛ばされてしまうと、次はハッカーが貴方と同じインターネットプロバイダーを使用して総当たり攻撃を仕掛けてくる可能性があります。そうしたほうが不正アクセスに気付かれにくくなるからです。
なので、メールなどに書かれたURLは素性がしっかりしたところだけをクリックするようにしましょう。メール内の画像や動画は見るだけなら大丈夫です。最近のEメールは対策がしっかりと行われているからです。動画の再生も大丈夫です。画像や動画の内容をしっかりと見極めてから、そのサイトを訪問するか判断していきましょう。
WordPressは見つかったセキュリティー上の脆弱性をすぐにレポートしてくれるのでウイルス対策ソフトが要らないくらいですが、よくある脆弱性は『クロスサイトスクリプティング』です。これは上記のような方法で個人情報が漏れてしまう可能性があるものですが(モノの本を読むと余計に分からなくなったりもする…)、あまり心配しなくてもいいもののようですね。よく言われている危険性は表示されたサイトに個人情報を打ち込まなかったら大丈夫だったりもしますし、WordPressのテーマやプラグインでそのようなことが起こったのを私は見たことがありません。IPアドレスからインターネットプロバイダーまでがバレてしまう可能性があるものだと理解しておきましょう。
また、不正アクセスの試みがあったとしても、そのIPアドレスをたどってハッカーのサイトに行ってみるようなことはしないようにしましょう。相手に自分のIPアドレスと使用しているインターネットプロバイダーを教えてあげているようなものです。彼らはまだIPアドレスからサイトを割り出しているだけであり、インターネットプロバイダーまでは分かっていないはずです。
なんらかの脆弱性が報告されたら、サイトの表示がおかしくならない範囲で削除するか無効化のボタンを押して使えなくしてしまいましょう。私はWordPressで個人情報がすべて吸い取られてしまうようなコンピューターウィルスの報告を受けたことはないです。それは『バックドア』を仕込まれたのだと思いますが、Jetpackをはじめ、多くのセキュリティーがそのようなものがないかサイトを監視し続けていたりもします。
テーマやプラグインは手動で更新したほうが良いでしょう。このほうがプラグイン同士がコンフリクトを起こしてサイトの表示がおかしくなることを防ぎやすくなります。これをしないと、一度作成して放置していたサイトの表示がおかしくなった際に、バックアップを使ってサイトを復元することが難しくなります。
またセキュリティープラグイン(Wordfenceなど)からの脆弱性レポートには必ず目を通すようにしましょう。『アップデートにはセキュリティー関連の修正が含まれます』等の文言があったら、すぐさまアップデートするようにしましょう。
ハッキングされたら、まずはパスワードを変更し、まとまった時間が取れた時に2段階認証を変更していきましょう。その間にアクティビティーログで変更の内容を確認して(Jetpackがインストールされていればどのサイトでも確認することができます)、もし改ざんされているのが判明したら、その日付以前のバックアップにまで戻すようにしましょう。
でも見るだけなら記録が残らないので、盗み見られた個人情報を取り返すことはできません。
普段から、盗み見られないように最大限の努力を払うようにしましょう。
以上です。
—— セキュリティー対策はWordPressでは一番難しい部分だと思います。WordPressはセキュリティーが弱いと言われることがありますが、実際には設定次第で他よりも強力なセキュリティーが構築できます。ま、色々と困難はありますけど、WordPressは苦労した後の喜びも大きい(出来ることの多い)ソフトですので、頑張ってどんどんと出来るようになっていきましょう。
WordPressには世界中の人が集まっているので、新しい発見があちこちにありますよ。
お疲れさまでした。
Leave a comment(コメントを残す)