WordPressのセキュリティについて
WordPressを使っていると、どこから調べたのか
スパムのコメントが書き込まれるようになります。
私もこれまでいくつかのWordPressサイトを
立ち上げてきましたので、
しばらく運営しているとスパムが書き込まれるようになります。
作ってすぐには来ないので、
スパムが来るようになると
「おお、やっとスパムが来るようになったか」と
ブログの初歩の段階を越える一つの目安のようになっています。
とはいうものの、迷惑ですのでこれを防止したいですよね。
もう一つ、WordPressを運営する上で特に気を付けたいのは、
管理画面のログイン情報です。
初期状態のままだとログインIDとパスワードで
マッチすればログインが可能です。
ログイン情報を知る必要があるのですが、
これが分からない状態でも、
総当たりでログインを試みるプログラムを流して
不正にログインされる可能性があります。
これは、何度ログインに失敗しても
再度ログインを試せるためです。
WordPressは初期状態のままだと
セキュリティで甘い面があるということですね。
防止策としては、
一定の回数(3回とか)ログインに失敗すると一定期間(1分とか)ログインできないようにする
もしくは
画像認証を行うようにする
といった方法があります。
どちらもWordPressのプラグインで対応しているものがあるので
手軽に入れられます。
画像認証を行うようにする方法は、
画面上に表示される画像を見てそれを入力し
一致しなければ全て弾きますので
ログインを総当たりで仕掛けてくるような
不正アクセスを防止できます。
コメント欄にこれを設置すれば
画像認証を通らなければ入力できなくなりますので
スパムも減ります。
ただ、ネックなのは入力することが面倒だということです。
そこで最近よく利用されるようになったのが
Googleが提供している「reCAPTCHA」というものです。
「私はロボットではありません」という
チェックボックスにチェックを入れて認証を行うものです。
チェックを入れるだけなので、入力する人はすごく楽になりますね。
セキュリティも担保できるので、当ブログでも導入してみます。
reCAPTCHAプラグインを導入する
reCAPTCHAを導入できるプラグインはいくつかありますが、
今回は「WordPress ReCaptcha Integration」を導入します。
このプラグインは、管理画面のログイン画面、コメント欄等
複数の画面に同時に設定できるからです。
しかも、どの画面に設置するかもワンクリックで設定できます。
まず、プラグインの新規追加ページを開き、
「reCAPTCHA」で検索を行います。
検索結果に「WordPress ReCaptcha Integration」が
表示されたら「インストール」ボタンをクリックします。
インストールが終わったら「有効化」ボタンをクリックします。
有効化までできたら、設定を行います。
有効化が終わるとプラグイン一覧画面が表示され、
画面上部にメッセージとともに以下のリンクが表示されます。
「reCaptcha settings page」をクリックします。
最初に、Googleでドメイン登録を行います。
「register you domain」のリンクをクリックします。
reCAPTCHAのドメイン登録画面が開くので、
識別名(自分がわかりやすい名前でよい)と
ドメイン名を入力します。
登録が終わると、Site keyとSecret keyが発行されます。
発行されたSite keyとSecret keyをWordPress管理画面の
reCAPTCHAプラグイン設定画面に貼り付けます。
貼り付けたら「変更を保存」ボタンをクリックします。
保存が終了すると、設定画面に遷移しますので、
reCaptchaを設定したい画面を指定します。
ログイン画面を開くと、反映されていました。
「私はロボットではありません」が表示されていますね。
手軽に導入できてログイン時も楽な「WordPress ReCaptcha Integration」おススメです!