WordPressのセキュリティ対策について、既に多数の文献がありますので、ここでは箇条書きないしは、noteや他記事・プラグイン・書籍などの紹介をしていきます。
おすすめnote・書籍
オレインさん(@Olein_jp)が初心者向けに優しくセキュリティ対策について、noteを書いてくださっているので、500円(税込)で有料ですが、必読の価値がありますので紹介いたします。
基本的なことが、たくさん詰まっているのでおすすめです。基本的に、私もほぼ同じ内容の対策をとっています。
また、もっと知識を深めたい方は、以下の書籍を読むと良いでしょう。
その他プラグイン・参考ブログなど
その他、私が使用しているプラグインや、おすすめの参考記事を紹介いたします。
セキュリティ系プラグインは、XO Security
私は、セキュリティ系プラグインは、主にXO Securityプラグインを使用しています。簡単ですが、私が本プラグインについて書いた紹介記事はこちらをどうぞ。
また、XO Securityについて解説している記事が以下にございます(やりすぎセキュリティさん)。なぜ、私が本プラグインを導入しているかについては、以下のブログにすべて書かれています。
WordPressに2段階認証を導入する(miniOrange)
先ほど紹介した、やりすぎセキュリティさんのブログでは、さらにWordPressに2段階認証を導入すると良いとされています。ここではminiOrangeプラグインを使用されています。miniOrangeプラグインを使用する上では、アカウント作成が必須なようです。
2段階認証は、日本ではGoogle Authenticatorプラグインを紹介されていることが多いですが、メンテナンス頻度があまり高くありません。現在では、Wordfence Securityプラグインにも2段階認証が導入されています。
上記のセキュリティの考え方は、一般的に広く知られている手法
上記のセキュリティに対する考え方は、どれも一般的に広く知られている手法がほとんどですが、基礎が大事です。
同様に、インフラエンジニアのたくなくさん(@valuask7)のブログでも、以下の大切な3項目について触れられています。
- まず最初にパスワードを強固なものにすること(文字数を多くして、英数字・記号を併用する)
- 連続ログイン失敗の制限(これがXO Securityでは出来るので、おすすめしています)
- 多段階認証(2段階認証)の導入を行うこと
詳しくは、たくなくさんのブログをぜひ読みに行ってみてください。
万一、サイトが壊れてしまったら…復旧が何よりも大事!
サイトのバックアップをとっている方は比較的多いのですが、しかしながらバックアップだけとって、それで満足をしている方を見かけることが多いです(一番よくないのは、バックアップすらとっていないケースです)。
しかしながらそれは、災害が起きたときに復旧方法を知らないのと同じです。実際に、サイトが不正侵入や自分がうっかり壊してしまったときの復旧について、リハーサルなどを行ったことはありますか?(ちゃんと復旧できますか?)また、プラグイン頼みであったりしませんか?そのプラグインがなくなっても、サイトを復旧することはできますか?
上記の点が、やはり不安です。
特に、長年更新しているブログなどで、容量が肥大化してしまうのに、プラグインやサーバースペック的にも付いていくことができず、かといってバックアップや復元を行う技術力が伴っていないと、最悪の場合、せっかく積み上げたものがなくなってしまう危険性すらあるとも感じています。
そこで、私は手間はかかりますが、プラグインを使用せず手動で復旧する方法をおすすめしています。一番良いのは、WordPressの仕組みについて、出来る限り詳しくなって、万一の災害に備える(復旧方法を頭に叩き込む)ということです。
以下の記事をぜひお読みください。
