WordPressセキュリティ

画像をアップロード

あなたのWordpressは狙われている

WordPressは世界シェアNo.1のCMS(=初心者でも簡単にホームページを作成・更新できるシステム)ですが、世界中の人が使用しているシステムゆえにハッカーから狙われやすいというデメリットもあります。

ミラクルのホームページ制作では企業が運営するサイトとして必要なセキュリティ対策を施してご納品しています。

他のホームページ制作会社では行われていない対策も含めて以下にご紹介いたします。

こんなWordpressは嫌だ ~ホームページ制作会社選びを間違えると

WordPressには広く認識されている「セキュリティ上の問題点」が存在していますが、適切な対策を行なうことでリスクは回避できます。
ですが、その問題点を認識していないホームページ制作会社に依頼をすると、セキュリティ面に問題があるままのホームページが納品されてしまいます。
検索の上位に出てくるホームページ制作会社や10万円近くもインストール費を取っている作成業者であっても対策をしていない業者は存在します。
実際にどのような問題があるのかをご紹介いたします。

管理画面のログイン画面にアクセスできてしまう

WordPressの標準ログイン画面は/wp-login.phpです。
もしホームページのURLがhttps://homepage.com/ならば管理画面はhttps://homepage.com/wp-login.phpです。
WordPressのインストール場所によっては.com/の後ろに不特定な文字が間に挟まりますが、ソースを見ればその文字がわかってしまいます。

ホームページ制作会社が公開している「制作実績」で紹介されているホームページを見てみると、簡単に管理画面のログイン画面にアクセスできてしまうことが多いです。これはプロとしてはあり得ない話ですが、実際には多くのホームページのログイン画面が晒されたままです。

ユーザー名がわかってしまう

ログイン画面にアクセスできてしまい、さらにユーザー名がadminやwebmasterなどの推測しやすいものだった場合、不正ログインの危険性がさらに増します。以前とあるサーバー会社が簡単インストール機能として提供していたWordpressがこれに該当し、多くのホームページが被害に会いました。

推測できないものだったとしても、URLにに/?author=1や/wp-json/wp/v2/usersをつけてアクセスするとユーザー名がわかってしまうことがあります。
ここまでわかってしまうとハッカーに破ってくださいと言っているようなものです。

ミラクルのWordpressセキュリティ対策は

ミラクルのホームページ制作では、上記セキュリティ問題点に対して対策を施しています。すべて無料です。
詳細をここに載せることは出来ませんが、概要をご紹介いたします。

ログイン画面を変更しています

WOrdpressのログイン画面を標準のものではなくオリジナルの文字列に変えています。
標準にURLにアクセスした場合はエラー画面が表示されます。

ユーザー名を秘匿してあります

ユーザー名を調べようとしても表示されないようにしてあります。
実は表示される画面もあるのですが、本当のユーザー名ではなく嘘のユーザー名が表示されるようにしてあります。

日本語入力を必須にしています

ログイン画面ではユーザー名とパスワードの他に日本語の入力を求めます。文字認証(CAPTCHA)というものです。
ひらがなが表示されますので海外のハッカーをブロックするのに絶大な効果があります。

ログインエラーに対して

ログインエラー時に表示されるメッセージをあいまいな表現にして「何が間違えているのか」がわからないようにしています。
また、規定回数エラーを起こすとアクセス事態と拒絶します(そもそもログイン画面までたどり着けませんが)。
さらにエラーログを取っていて、万一ログイン画面にアクセスされた場合にはすぐにわかるようになっており、その時点でログイン画面のURLを変更することで排除いたします。