初めて海外からの不正アクセスによりウイルスを仕込まれたのが2019年10月のこと。
あれから1年も経たないうちに今度は不正ログインされて、またブログをぶっ壊されてしまいました。
自分のブログにアクセスして、いきなりこの画面になってるわけですよ。
![](https://harulog.jp/wp-content/uploads/2020/06/XploitSec-ID_Priv8_Backdoor-2-1024x553.jpg)
ゾッとしませんか?
っていうか『学べよ!』と自分に全力でツッコミを入れたいところなんですが、今回のブログ不具合の原因は前回とは違ったようなのです。
そして悔しいのが、前回も今回も“ちゃんと対策していれば防げていたかもしれない”というところ。
後悔先に立たず。
大事なホームページやブログを不正ログイン・不正アクセスから守るために、
- やっておくべきこと
- 効果的なプラグインの導入
など、おすすめのセキュリティ対策についてまとめます!
もくじ
ログインページを変更する
ドメイン/wp-admin.phpはNG
![](https://harulog.jp/wp-content/uploads/2020/06/031e86aad7079aeff32bdd4a8dc99445-1024x609.jpg)
ログインURLが、
- ドメイン/wp-admin.php
- ドメイン/wp-login.php
になっている人はいますぐログインURLを変更されることをおすすめします。
ワードプレスは利用者が多いのでハッキングの対象になりやすく、そんな中でログインURLが上記のようなデフォルト設定のままだと、不正ログインされる可能性がますます高くなってしまいます。
Login rebuilderでログインURLを変える
![](https://harulog.jp/wp-content/uploads/2020/06/784b32bf633cd83d5dcb642bb98c7cfe-1024x473.jpg)
Login rebuilderのインストール方法
- ダッシュボードにアクセス
- プラグイン新規追加
- Login rebuilderで検索
- 今すぐインストール
- 有効化
Login rebuilderの設定方法
![](https://harulog.jp/wp-content/uploads/2020/06/a1e797a6dbf1ca7df794c61e3f36961c-1024x534.jpg)
- 無効なリクエスト時の応答▶︎サイトトップへリダイレクト
- 新しいログインファイル▶︎自由に作成(ここで作ったものがログインURLになります。)
![](https://harulog.jp/wp-content/uploads/2020/06/ea895443f759300f5f36983040d16229-1024x596.jpg)
- ステータスを稼働中に変更
![](https://harulog.jp/wp-content/uploads/2020/06/4eee41b52dd4ef7fa2b293a866df6847-1024x449.jpg)
- 著者ページへのアクセス▶︎404ステータスに変更
- 変更を保存をクリック
- ログアウト
- 新ログインURLにアクセス
- ブックマーク登録
- ログイン
- 完了
複雑なパスワードに変更する
![](https://harulog.jp/wp-content/uploads/2020/06/031e86aad7079aeff32bdd4a8dc99445-1-1024x674.jpg)
ローマ字の大文字・小文字や数字を組み合わせて安全度の高いパスワードを設定しておきましょう。
- 簡単なもの
- シンプルなもの
- 覚えやすいもの
- メモできるレベルの文字列
は断固NGです。
最近ではAppleやGoogleの製品・ソフトウェアが自動で複雑なパスワードを作ってくれるので、それを素直にパスワードとして利用するようにしましょう。
設定時にiPhoneやChromeが『覚えさせますか?』といったことを聞いてくるので、その時に覚えさせておけばパスワードをメモする必要はありません。
iPhone・iPadのパスワード確認方法
- 設定
- パスワードとアカウント
- WebサイトとAppのパスワード
Google Chromeのパスワード確認方法
- 画面右上の3点マーク
- 設定
- パスワード
全てのバージョンを最新に
![](https://harulog.jp/wp-content/uploads/2020/06/359c30b35ed249e1def71cc2715131c6-1024x467.jpg)
- WordPress
- プラグイン
- テーマ
の新バージョンへの更新は放置しないようにしたいところです。
旧バージョンに問題があるからこそアップデートされているわけです。
もちろんアップデートすることでサイト表示に影響が出る可能性もありますが、安全面から見ればアップデートしないことの方がリスクがあると考えられます。
また、使っていないテーマやプラグインがあれば、それも放置せず削除しておきましょう。
更新情報確認方法
- ダッシュボード
- 更新
サイトヘルスを確認する
![](https://harulog.jp/wp-content/uploads/2020/06/5e6c2fa89f74c11552c62a3f136e7bda-1024x539.jpg)
- ツール
- サイトヘルス
バックアップデータの保存
![](https://harulog.jp/wp-content/uploads/2020/06/784b32bf633cd83d5dcb642bb98c7cfe-1-1024x466.jpg)
All-in-One WP Migrationの使い方
![](https://harulog.jp/wp-content/uploads/2020/06/9e5c5350588647fbface8f377fd3b12f-1024x631.jpg)
- All in One WP Migrationをインストール
- ダッシュボードでAll in…をクリック
- エクスポートをクリック
- エクスポート先でファイルをクリック
- バックアップデータをダウンロード
- データを保管
サイトが止まるとアクセス減
![](https://harulog.jp/wp-content/uploads/2020/06/471e6ce90b1c84ef7da380e142c9b3a4-1024x374.jpg)
不正アクセスが発覚してからサイト復旧後数日のアクセス数です。
不正アクセス直後はアクセス数が限りなくゼロに近づきました。
ありがたいことに4日後にはサイトが復旧したわけですが、ご覧の通りアクセス数は以前の5〜6割程度に止まっています。
サイトが表示されなくなってから、サーチコンソールからもサイトの不具合を知らせるメールが何通か届きました。
クローラーがサイト異常を検知した結果、検索順位にも影響が出ているのだと思います。
アルゴリズムアップデートで順位に影響が出るならまだしも、不正アクセスなんかで順位を下げてしまってはもったいないですから、できる限りの対策はしておきましょう。
プロに任せる
前回の不正アクセス時の対策まとめ
![](https://harulog.jp/wp-content/uploads/2019/10/IMG_42EBDC5573F9-1-320x180.jpeg)
去年、ウクライナからの不正アクセスを受け、サーバー側の対応としてアクセスをストップされたことがありました。
今回はサーバー側での異常感知はなかったのですが、ウイルスを仕込まれてサイトが表示されなくなったという点では同じ。
ちなみに今回は無事のはずのバックアップデータをインポートしても、またウイルスが発生するという厄介極まりないウイルスを仕込まれていたようです。
膨大なファイルの中からウイルスを全部取り除くなんてプロにしかできない作業だと思います。
何らかの手を打たなければ、途方にくれている間にサイトの評価はどんどん下がってしまいます。
傷が浅いうちに、頼れるプロに作業を依頼しましょう。
▶︎ココナラ|不正アクセスによるエックスサーバー規制を解除します
[…] ワードプレスのセキュリティ対策おすすめプラグイン|不正ログイン防止のために 初めて海外からの不正アクセスによりウイルスを仕込まれたのが2019年10月のこと。 あれから1年も経た […]
[…] […]
[…] ワードプレスのセキュリティ対策おすすめプラグイン|不正ログイン防止のために 初めて海外からの不正アクセスによりウイルスを仕込まれたのが2019年10月のこと。 あれから1年も経た […]