初心者注意のセキュリティ系プラグインの落とし穴


スポンサーリンク


スポンサーリンク



 

Word Pressのセキュリティ系プラグインを導入しました。

こんにちは。あだじょぱです。

WordPressでサイト運営している人なら、何かしらのセキュリティ対策を施していると思いますが、難しいプログラムなどを必要とせず、手軽に導入が可能で、簡単な操作だけで、セキュリティを強化出来るプラグインは便利ですよね。

WordPressでブログを開設した当初は、何も知識のないところからのスタートだった為、セキュリティに関しては、簡単なプラグインを1つ導入していただけの無防備に近い状態でした。

そんな時にコピーサイトを発見し、対策を調査、そこでセキュリティに対する必要性を感じたのです。

そこで、セキュリティ強化系のプラグインを導入したのですが、意外な落とし穴がありました。

初心者で無ければ、そんなの当然と思われるような事なのかもしれません。

ですが、同じような落とし穴にハマってしまう人が出ないように記事にしました。

 

 

セキュリティの強化

 

 

セキュリティ強化と言っても、1つではありません。

サイトを運営していると、スパム対策や悪意のあるアクセスを防ぐ事も大切ですが、怪しいサイトにコピーされる事もあります。

自己防衛の意味合いも強いですが、読者の方々に安心して読んで頂ける環境を構築することが1番重要だと思います。

 

 

プラグインで対策

 

セキュリティ対策をするにしても、プログラムから作成するのは非常に大変ですし、簡単な事ではありません。

そんな時に便利なのが、プラグインと呼ばれるもの。

WordPressには、プラグインと呼ばれるアプリの様にインストールして導入出来る優れた機能があります。

セキュリティ関連のみならず、他にも様々な便利に使えるプラグインが用意されています。

プラグインが便利なのは、プログラムのような初心者では難しい事を一切必要としません。

設定の各種項目を入力するだけで機能してくれます。

セキュリティ対策として導入しているプラグインは、下記の4つです。

  • Akismet Anti-Spam
  • IP Geo Block
  • SiteGuard WP Plugin
  • WP-CopyProtect

 

コピーに関しても、対策としてプラグインを導入しました。

しかし、セキュリティ強化のプラグインを導入後、いくつかの注意点に気が付いたのです。

 

 

注意1(IP Geo Block

 

IP Geo Blockとは、国毎にアクセスを制限する事の出来るプラグインです。

このあだじょぱこたんは、日本からのアクセスがメインですが、時々、海外からのアクセスがあります。

しかし、スパムの多くは海外のサーバーを経由したアクセスに多くみられる為、何か対策をした方が良下げだと感じ、IP Geo Blockを導入。

IP Geo Blockは、国毎に割り当てられたコードを使って、特定の国からのアクセスをブロックする事が出来ます。

アクセス解析を使って頻繁にスパムを仕掛けてくる国を割り出し、ブロックをする事でスパム対策します。

デフォルトでは、そのブロック対象が日本以外殆ど全ての国になっていましたが、日本からのアクセスが殆どなので、そのまま使用していました。

これが落とし穴です。

 

アクセス拒否によって、海外経由のアクセスが弾かれる為、Facebookなどで記事を共有する事が出来なくなったのです。

そして海外からのアクセスが拒否されるので、海外サーバーを使うSNSなどもアクセス拒否されます。

運営するサイトにもよりますが、あだじょぱこたんの場合は、IP Geo Blockを導入して全体的なアクセスが落ちました。

検索エンジンだけは、国外からでもアクセス出来るようになっていたので、新しい記事を投稿してもインデックスされないという事は無かった為、発見が遅れてしまいました。

 

対策としては、デフォルトの日本以外を拒否する設定を変更する事にしました。

デフォルトでは、ホワイトリストという設定になっている項目があり、そこにアクセスを許可する国として日本のコードが入力されていました。

ホワイトリストは、アクセスを許可する国のリストです。

その部分をアクセスを拒否する国のリストであるブラックリストに変更しました。

スパムを送っている国のコードだけを入力するように変更したのです。

すると、それから全体的なアクセスが増加しました。

この設定は、使う方のサイトに応じて考えた方が良さそうです。

 

 

注意2(SiteGuard WP Plugin)

 

続いては、SiteGuard WP Pluginというプラグインについてです。

こちらのプラグインは、不正なアクセスなどで、外部から第三者にログインされる事や、スパム攻撃などを防いでくれるというもの。

設定項目も簡単で使い易いプラグインなのですが、インストールし有効化する事で、サーバー上にある.htaccessというファイルに自動で書き込みされます。

.htaccessファイルは、「Apache」というソフトを利用しているサーバーであれば利用出来るファイルで、同一のディレクトリ内と、その下層にあるディレクトリ内に対して、優先的に実行されるファイルになります。

 

Σ(´・д・`;)ナニソレ?

 

.htaccessファイルに記述すると、ブログを読み込む際に、その記述した内容が最優先で反映される。

と覚えておけば良いかなと思います。

 

XSERVERを利用している場合は、サーバーパネルから.htaccessファイルへダイレクトに編集が可能です。

ですが、安易に編集するのは危険です。

初心者が手を出すと、最悪の場合、サイトへアクセス出来なくなってしまいます。

そんな初心者では編集するのが大変なファイルに、簡単な設定だけで、自動的にセキュリティを強化するプログラムの記述をしてくれるプラグインという理解で良いと思います。

 

ですが、この機能が時々ありがた迷惑である事があるのです。

それに気がついたのは、XSERVERで公式サポートのPHPバージョンがバージョンアップされていたので、サーバーパネルの設定からバージョンを変更しようとした際に、何度トライしても変更されないという状況になった時でした。

PHPはサーバー側のプログラムのようなもので、バージョンが上がるほど処理速度が速くなるのです。

PHPの切替えを行う画面を確認すると、切替えが上手くいかない場合は、.htaccessを確認して下さいというような注意書きがありました。

思い当たる事は、SiteGuard WP Pluginによる自動書き込みくらいしかありません。

.htaccessファイルを編集するのは、リスクが高いので、Wordpressのプラグインの設定で、SiteGuard WP Pluginを1度無効にしてからPHPの切替を行ってみました。

無事、切り替えに成功しました。

その後、再度プラグインを有効にして完了しました。

 

 

まとめ

 

誰もが便利で簡単に導入出来るプラグインですが、利用方法や仕組みを把握していないと、気がつかないところで損をしていたり、見えないところで悪影響が出ている可能性があります。

セキュリティ対策は、サイト運営では最重要課題でもあるので、疎かには出来ない部分だと思います。

WordPressは、一般にも普及率が高く、スパムのターゲットになる事が多いと言われています。

その為、Wordpress側でもWindowsのようなソフトウェアの更新で、日々対策を講じていますが、それだけでは心配なのも事実です。

プラグインを選択する時点でも更新が停滞しているプラグインは避けた方が無難です。

プラグインを導入する場合は、機能や仕組みを理解して、誤った設定にならないように心がける必要があります。

なんでも日々勉強が必要ですね。ε-(ーдー)ハァ

今後も継続して学んでいきたいと思います。


スポンサーリンク


スポンサーリンク





コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

ABOUTこの記事をかいた人

大阪から札幌への移住者。二度の移住でトータル15年ほど。 会社は早期退職。仕事やプライベートで北海道全域を走破。 趣味はGuitarとCamera。どちらも未熟である。  HM/HRと綺麗な素敵レデーをこよなく愛す。怪しい者ではない。