WordPressに触ったことがなかったので初めてのことばかり。ひとまずページを立ち上げてページをコツコツ作ってみるも、最初はぜんぜん気にしていなかった不正アクセスへの対策が必要なことが分かってきました。アカウントを乗っ取ろうとログインを試行されたり、スパムを送られたり、コメントやユーザー登録などでサイトが攻撃されるようで。
というわけで、いったんページ作成の手は止めてセキュリティ周りの対策を調べて策を講じることにしました。備忘録を兼ねて、記録を残しておこうと思います。
何をやったかといえば、最初にまずサーバー側の設定で、海外からのアクセス制御やコメント・トラックバックの対策です。あとは基本的にはプラグインの追加です。次に「SiteGuard WP Plugin」を適用しました。このプラグインでは、ログインURLの変更と画面認証の追加、短時間内に複数回失敗でのロック設定、XMLRPCの無効化を行いました。「XMLRPCとか、はぁ?」って感じでしたが、今はあまり使われていないプロトコルで使わないで悪用される可能性があるので、済むならその方が良いみたいです。ただログイン画面が変わりWordPressのロゴが表示されているログイン画面は味気ないなぁと感じてます。
次に「Edit Author Slug」のプラグインを追加して、ユーザー名が漏洩してしまうのを防ぐようにしました。デフォルトだとURLに「/?author=1」を付けるとユーザー名が見えてしまうというのがWordPressの仕様らしく。怖いですね、ログイン情報の片方が見えてしまうなんて。機械的に狙われやすいようなので、ここから情報が見えなくなるようにしました。
あとはreCAPTCHAを有効にするため「Advanced Google reCAPTCHA」の追加しました。もっと有名なプラグインもあったのですが、テーマとの相性なのが設定画面がうまく機能しなかったので探した結果こちらを採用しています。このサイトのことはまだ誰も認知してないレベルなのに、reCAPTCHAの管理画面をみると100以上のリクエストが発生しているようでした。あとは常時アイコンが表示されないよう一部ページにブランディングを記載し、非表示に切り替えました。
てな感じに、だいたい以上のような対策をしました。普段、サイトを利用しているだけだと不正アクセスについて気にすることってほぼありませんでした。でも、いざ自身のポケットに自分のWebサイトを追加してみると途端に周囲の目が気になってしまいます。世の中(Webの世界)に見えない悪意が想像以上に溢れていることに驚かされたここ数日でした。
最初にセキュリティ対策をやってみる
