自分の小さなホームページなんて、狙われるわけない。
そう思っているとしたら、ちょっと待ってください。小さな個人ブログでも、しばらく放置しているサイトでも、セキュリティ対策が甘ければ無差別に狙われます。
セキュリティ対策を整えていれば基本的には安全に使えますが、自分のホームページは自分で守る意識が必要です。
花子とはいえ、何をしたらいいかわからない。
このページでは、WordPressで狙われやすいポイントには具体的にどんなものがあるのか、また、実際にどのようなセキュリティ対策があるのかについても解説します。
この記事を読めば、WordPressのセキュリティについて一通り理解できるはず。
セキュリティについて少しでも不安がある方は、ぜひ最後まで読んでみてくださいね。
なぜWordPressはセキュリティ対策が必要なのか
WordPressは世界中でたくさんの人に使われているツールですが、人気があるぶん、悪意のある攻撃者に狙われやすいという側面があります。
「オープンソース」という性質で仕組みが公開されているため、中身を誰でも確認できます。これはとても良いことなのですが、同時に悪用されるリスクも高くなります。
実際には、攻撃はサイトの規模に関係なく仕掛けられます。侵入できるところがあれば入ってこようとする、というのが実情です。
私はWordPressをインストールしてから数日で攻撃を受けたこともありますが、このときすでにセキュリティのプラグインをインストールしていたので難を免れました。
そのプラグインが今回ご紹介する「CloudSecure WP Security」です。
セキュリティ対策を怠ると、企業や個人の信用が損なわれ、深刻な被害をもたらす恐れがあります。
エックスサーバーでWordPressをインストールすると、「CloudSecure WP Security(クラウドセキュアWPセキュリティ)」というセキュリティプラグインがデフォルトでインストールされます。このプラグインは、ログインページの保護、管理画面へのアクセス制限、不正ログインの防止など、多方面からホームページを守ってくれるプラグインです。
日本語対応で初心者でもとても使いやすいのですが、設定画面を開くと専門用語が多くて意味不明になりがち。この記事では、CloudSecure WP Securityの設定方法を順番に説明していきます。
すずのり難しく考えすぎなくて大丈夫です。まずここを整えておけば、安心してWordPressを使い始められます。
具体的にどんな被害が起きるのか
パスワードを複雑にしておけば大丈夫!と思ったあなた。パスワードは順列組み合わせなのですべての組み合わせを試すといつかは解読されてしまいます(ブルートフォース攻撃)。
管理画面にログインする際のユーザーIDも防御をしていないと実は丸見えなんですよ。
また、サイトへの侵入経路はログイン画面以外にもあります。
これらを念頭に置いて、WordPressではどんなセキュリティリスクがあるのかを知っておきましょう。
被害のパターンを知っておくと、対策の意味がわかりやすくなります。
サイトの改ざん
WordPressのサイトが改ざんされると、あなたの知らないうちにサイトの内容が変えられてしまいます。具体的には、こんなことが起こりえます。
- 見慣れない広告が表示される: あなたが置いた覚えのない広告が突然表示されることがあります。
- 不正なリンクの挿入:アダルトサイトに強制リダイレクトされる。
- サイトが乗っ取られる: あなたのサイトが、まったく違うサイトに変わってしまうことがあります。
- 個人情報が盗まれる: あなたのサイトにアクセスした人の情報が、悪意のある人に盗まれる可能性があります。
踏み台にされる ハッキングされていることに気づかないまま、あなたのサイトが他のサイトへの攻撃拠点として使われてしまいます。自分では何もしていないのに、被害を与えてしまっているケースです。気づかないことが多いのが、さらに怖いところです。
踏み台にされる
踏み台 というのは、ハッキングされていることに気づかないまま、あなたのサイトが他のサイトへの攻撃拠点として使われてしまうことです。自分では何もしていないのに、被害を与えてしまっているケースです。
気づかないことが多いのが、さらに怖いところです。
- 他のサイトへの攻撃が行われる: あなたのサイトが知らないうちに、他のサイトへの攻撃に使われてしまう。
- スパムメールが大量に送られる: あなたのサイトから、大量の迷惑メールが送られる。
- ウイルスやマルウェアが拡散される: あなたのサイトが、ウイルスやマルウェアを拡散するための基地になる。
データ漏洩
サイトに登録しているユーザーのメールアドレスやパスワードが盗まれる可能性があります。
- 個人情報が盗まれる: あなたのサイトに登録利用しているユーザーのメールアドレスやパスワードなどが、悪意のある人に盗まれてしまうことがあります。
- クレジットカード情報が盗まれる: あなたのサイトで決済機能を使っていた場合、お客様のクレジットカード情報が漏洩してしまう可能性があります。
スパムコメントの増加
不正なコメントが大量に投稿されて、こんな困ったことが起こります。
- コメント欄が荒れる: 不適切なメッセージや無関係な広告リンクを大量に投稿され、ブログ記事が台無しになる。
- サイトの表示が遅くなる: たくさんのスパムコメントがあると、サイトの表示速度が遅くなります。
- サイトの評判が下がる: スパムコメントが多いと、訪問者が不快に感じ、あなたのサイトが信頼できない。
- 悪質な広告やリンクが表示される: スパムコメントの中には、悪質な広告やウイルスが含まれている場合もあり、ユーザーが危険にさらされる可能性。
ランサムウェア攻撃 サイトのデータを暗号化してアクセスできない状態にされ、元に戻す代わりに金銭を要求されるケースです。まるでサイトを人質にとられたような状態になります。
ランサムウェア攻撃
ランサムウェア攻撃とは、サイトのデータを暗号化してアクセスできない状態にされ、元に戻す代わりに金銭を要求されるケースです。まるでサイトを人質にとられたような状態になります。
つまり、サイトが使えなくなり、業務が止まるだけでなく、金銭を支払わないと大事なデータが戻らないという非常に深刻な状況に陥ります。
大企業がランサムウェア攻撃の被害を受け、業務が停止して売上に大きな影響が出た・・・そんなニュースを見たことがある方も多いと思います。自力復旧までに数か月かかるケースも。
脆弱性(ぜいじゃくせい)とは
「脆弱性」という言葉も、ここで知っておくと安心です。システムやアプリケーションに潜む「抜け穴」のことで、この抜け穴を悪意のある人物に見つけられると、不正アクセスや悪用につながります。
WordPressやプラグインの更新が重要なのは、こうした抜け穴が見つかったときに開発者が修正版を出しているからです。更新を放置しておくと、知られた抜け穴を突かれやすくなります。
こう聞くと、WordPressって危ないのでは?と感じるかもしれませんよね。
ただ、しっかり対策をしていれば基本的には安全に使えます。100%の防御は大規模なサイトでも難しいのですが、セキュリティプラグインを整えておくことでリスクをかなり下げられます。
まずはここからで大丈夫です。
CloudSecure WP Securityはどんなプラグインか
CloudSecure WP Securityは、エックスサーバーグループのセキュリティ専門企業が開発したプラグインです。
日本語で使えて、初心者でも設定しやすいのが特徴です。「防犯アラーム&ブロック」のようなもの、というイメージが一番近いかもしれません。
主な機能は次の通りです。
- 管理画面アクセス制限
- ログインURL変更
- 画像認証追加
- XML-RPC無効化
- 攻撃通知
- ログイン通知・更新通知
- ログイン履歴の確認
これらが組み合わさって、ホームページをいろんな方向から守ってくれます。次から一つずつ設定していきます。
設定を始める前に——ダッシュボードの確認
管理画面の左メニューから「CloudSecure WP Security」をクリックするとダッシュボードが開きます。
すでに「有効」と表示されている機能はそのままにして、これから追加で整える設定を確認していきます。項目は多く見えますが、一つひとつはとても簡単な操作です。
すでに「有効」になっている機能もありますのでこれただけでも効果はありますが、初期設定のままでは不十分。もう一歩セキュリティを高める設定をしましょう。
なぜならば、初期設定のままホームページを運営していたら、不正ログインの攻撃を何度か受けていることに気づきました。
とはいえ、CloudSecure WP Securityプラグインのおかげで、ログインは失敗に終わりましたが、初期設定のままではまだ狙われる隙があります。
全ての設定が必須というわけではありませんが、各設定項目を確認するだけでも、WordPressにはどのようなリスクが潜んでいるのか知ることができ、より安全にサイトを運用することができます。
CloudSecure WP Securityの設定を見ていきましょう。
設定の手順
1.ログインURL変更
すずのりログイン画面への入り口がわからないようにします。
WordPressの管理画面にログインするためのURLは、デフォルト(初期状態)で決まっています。
ドメインの後ろに「/wp-admin/」または「/wp-login.php」をつけたURLが、WordPressの標準ログインページです。
https:// ドメイン /wp-admin/ または https:// ドメイン /wp-login.php
WordPressを使っていれば誰でも知っているURLなので、そのままにしておくとログイン画面への入口が丸見えになり、不正ログインを試みられるリスクが高まります。
誰にもわからないURLに変更しましょう。「/wp-admin/」または「/wp-login.php」を「自由な文字列」に変更します。
https:// ドメイン /自由な文字列/
左サイドメニューCloudSecure WP SecurityからログインURL変更を選びます。
①有効を選択
②自由な文字列(4~12文字の半角英数字、ハイフン、アンダースコア)を入力。自由に変更できます。設定後のログイン画面URLは、ドメイン+自由な文字列になります。
③管理者ページからのログインページにリダイレクトしないにチェックを入れます。
④最後に変更を保存をクリック
「ログインURL変更機能が有効になりました。」とメッセージが表示されます。
その下のテキストリンク新しいログインページURLをクリックします。
新しいログインページが別タブで開きます。次回からはこのURLからログインします。
このURLはブックマーク等、必ず保存しておいてください。
このURLがわからなくなるとログインできなくなります。
変更後はメールでも新しいログインURLが届くので、あわせて確認してください。
ダッシュボードをクリックして、ダッシュボードに戻ります。
2.画像認証追加
すずのり悪意のあるプログラムからログインされないようにします。
この機能を有効にすると、ログイン時にユーザー名とパスワードに加えて、画面に表示されたランダムな文字列を入力する必要が出てきます。人間かどうかを確認するための仕組みで、機械的に大量のログインを試みる攻撃を防ぐ効果があります。
操作者がコンピュータではなく人間であることを確認する目的で設計されています。
ダッシュボードから画像認証追加を選びます。
有効に切り替えて、変更を保存をクリックします。
「画像認証追加機能が有効になりました」とメッセージが表示されます。ダッシュボードをクリックしてダッシュボードに戻ります。
【補足】
ログインするときの入力は半角です。全角で入力するとエラーになるので、ここだけ注意してください。
アルファベットは大文字でも小文字でもかまいません。
3.XML-RPC無効化
すずのり外部サービスからの不正アクセスを防ぎます。
XML-RPC(エックスエムエルアールピーシー)とは、外部のアプリやサービスからWordPressを操作するための仕組みです。
たとえば、スマートフォンアプリや他のWebサービスなど、管理画面以外の場所から記事を投稿・編集したり、他のブログと連携するトラックバックやピンバックといった機能にも、このXML-RPCが利用されていました。
しかし、セキュリティ上のリスクがあることや、代替となる技術が登場してきたこともあり、現在ではその利用は少なくなっています。
とはいえ、このXML-RPCを利用した不正アクセスは、いまだに見られます(こちらはプラグインで防ぐことができました)。セキュリティ対策の一つとして、「XML-RPC」機能を無効化することが推奨されていますので、設定しておきましょう。
※注意「XML-RPC」を利用するプラグインをインストールしている場合は無効化しないように。
アドレスバーに「https://ドメイン/xmlrpc.php」と入力してアクセスします。
「XML-RPC server accepts POST requests only.」というメッセージが表示された場合、XML-RPCは有効になっています。→ 無効に設定しましょう。
「403 Forbidden」や「ページが見つかりません(404エラー)」などのエラーメッセージが表示された場合、XML-RPCはすでに無効になっている可能性が高いです。
ダッシュボードに戻り、XML-RPC無効化をクリックします。
設定画面には「ピンバックの無効」と「XML-RPC無効」の2つの選択肢があります。
「ピンバックの無効」は一部だけを止めるもので、外部からの投稿・編集を使わないなら「XML-RPC無効」にチェックを入れるほうが、より安心です。
XML-RPC無効にチェックを入れて変更を保存をクリックします。
【注意】なお、XML-RPCを利用するプラグインがすでに入っている場合は、そのプラグインに影響が出ることがあります。心当たりがある場合は確認してから設定してください。
ダッシュボードをクリックしてダッシュボードに戻ります。
4.管理画面アクセス制限
すずのり管理ページへの不正アクセスを防ぎます。
WordPressで使われているファイルのURLはOPENになっているため、そのファイルを利用して管理ページへ無理やり侵入しようとする不正アクセスが発生することがあります。
この機能を有効にすると、管理ページへの不正アクセスがあったときに「ファイルが存在しない(Not Found)」というエラーを返すようになります。この機能は有効にしておきましょう。
ダッシュボードに戻り、管理画面アクセス制限をクリックします。
初期設定では無効になっているので、有効にして、最後に変更を保存をクリックします。
「管理画面アクセス制限機能が有効になりました。」とメッセージが表示されます。
ダッシュボードをクリックしてダッシュボードに戻ります。
5.シンプルWAF
ここでは、ホームページが攻撃を受けた場合に、403エラー(Foribidden)を返して検知履歴を記録し、管理者メールへ通知するかどうかを設定します。何か起きたときに気づけるよう、有効にしておくことをおすすめします。
ダッシュボードから、シンプルWAFをクリックします。
初期設定では無効になっているので、有効にして、メール通知を通知する、最後に変更を保存をクリックします。
「シンプルWAF機能が有効になりました」とメッセージが表示されます。
ダッシュボードをクリックしてダッシュボードに戻ります。
その他の設定
その他にも設定がありますが、デフォルト設定のままでOKなもの、ケースバイケースで設定するものがありますので、解説します。
すべて有効にしてしまうと、逆にログインできなくなったり、他のプラグインが正常に動作しなくなったりといった不都合が起きることがあります。
とくに、初心者の方の場合、セキュリティをがちがちに固めすぎると、こうした不具合が起きたときに原因を特定するのが難しくなってしまうため、すべての設定を有効にはしません。
すずのりすべての項目をフル設定しなくても、このページでご紹介した設定だけでも、セキュリティ対策としての効果は期待できます。
ログイン無効化
デフォルト設定(有効)のままでOKです。
短時間に連続ログインを繰り返して失敗した接続元からのアクセスを禁止し、一時的にログインできなくします。
デフォルトでは、5秒間に5回連続でログインに失敗すると、60秒間ログインできない状態になります。5秒間に5回も失敗するということは、人間が手入力でログインに失敗したわけではないと想像できるでしょう。
攻撃プログラムであれば、5秒間でパスワードを解読できずに失敗が続けば60秒間待たされることになるため、この時点で諦めてしまうはずです。
「ブルートフォース攻撃」や「パスワードリスト攻撃」など、連続してログインを試される不正ログイン攻撃で、ログインに繰り返し失敗した場合にアクセスを禁止します。
文字列の可能な組み合わせを1つずつ試してパスワードを当てる攻撃。パスワードは順列組み合わせでできているので、いつかは当たるはず。
どこかで入手した他のサービスで使われるユーザーIDとパスワードを利用して、ログインを試みる方法。パスワードの使い回しをは止めましょうという理由がこれです。
ログインエラーメッセージ統一
デフォルト設定(有効)のままでOKです。
WordPressのログインに関するエラーメッセージは・・・
ユーザー名を間違えると「ユーザー名が違う」、パスワードが間違っていると「パスワードが違う」、画面認証に失敗すると「画面認証に失敗」というように、何を間違えたのか、ヒントになるエラーメッセージを表示してしまいます。
そこで、何を間違えたのかわからないように、ユーザー名、パスワード、画像認証のどれを間違えても同じメッセージを表示する機能です。
2段階認証
管理画面URLからのユーザー名とパスワードの入力に加え、追加認証を行います。
『Google Authenticator』を、あらかじめスマートフォンにインストールし、『Google Authenticator』に表示された6桁の認証コードを入力しない限り、ログインできません。
ログイン時にひと手間かかるので(だからセキュリティが強い!)、私は頻繁にログインするサイトには、現時点では2段階認証は今はOFFにしています。とはいえ、手間はかかりますが、セキュリティは飛躍的に向上できますので、安心して運営したい人には有効化をおすすめします。
すずのり今後「有効」にするかも。
設定ファイルアクセス防止
デフォルト設定(有効)のままでOKです。
ホームページ内のファイルで、通常はアクセスされることがない設定ファイルに、外部からアクセスしようとした場合に、エラー画面(403 Forbidden)を表示します。
ユーザー名漏えい防止
デフォルト設定(有効)のままでOKです。
ブログを見ていると、「この人が書いた記事一覧」みたいなページを見たことはありませんか?
たとえば、複数の人が記事を書いているサイトで、「○○さんの記事だけをまとめて読みたいな」というときに表示される、あの一覧ページです。
このページはWordPressでは特別な設定をしなくても、ユーザーを登録した時点で自動的に作られています。そして、このページのことを「投稿者アーカイブページ」と呼びます。
アドレスバーに
https://ドメイン名/?author=1
と入力するだけで、このページは表示することができてしまいます(数字の部分は、ユーザーIDによって変わります)。
しかも、アドレスバーをよく見てみると、URLが
https://ドメイン/author/ユーザー名/
のようにログイン時のユーザー名が表示されてしまいます。
すずのりこれでは、ユーザー名と表示されるニックネームを別にしても、ユーザー名がバレバレですね。
このように、アドレスバーで「管理者がログインに使っているユーザー名」が外部から見えてしまいます。
そこで、「ユーザー名漏えい防止」を有効にしておけば、投稿者アーカイブページにアクセスされたとしても、「ページが見つかりません」ページを表示し、アドレスバーにユーザー名は表示されません。ひとりですべての記事を書いているなら、「投稿者アーカイブページ」はいりませんね。
ユーザー名は、セキュリティ対策において意外と見落とされやすいポイントです。この点については、後ほど「2.ユーザー名と投稿者名の変更」で詳しくご説明します。
REST API無効化
REST APIとは、Web経由で、システム同士がデータをやり取りするための『共通ルール』です。
これを利用すると、WordPressの管理画面を経由せずに投稿や編集、更新などができてしまうので、セキュリティ上はよろしくありません。
だからといって、REST API無効化してしまうと、プラグインによっては不具合が生じる場合があります。なので、プラグインがREST APIを使用しているか調べて、使用している場合はREST API無効化から除外します。
また、REST APIを無効化して、ブロックエディタが正しく動作しないケースもあります。その場合は無効化を無効にしてください。
このように、REST APIを一律で無効化してしまうと、利用しているプラグインやテーマによっては不具合が起きてしまう可能性があります。そのため、このページでは「無効化しましょう」とはお伝えしないことにします。
通知
デフォルト設定(有効)のままでOKです。
- ログイン通知
- アップデート通知(WordPress、テーマ、プラグインのアップデート)
- サーバーエラー通知
これらのことが起きた場合に、メールで知らせてもらうかどうかの設定です。何か起きた場合に早期に発見するために、WordPressの状態を最新状態にしておくためにも、メールで通知を受け取りましょう。
ログイン履歴
「ログイン履歴」には、管理画面にいつ・どこから・どのユーザー名でログインしたかが記録されます。
IPアドレスというのはインターネット上の「住所」。自宅から自分しかログインしない場合は、通常はIPアドレスとユーザー名はすべて同じになります。
ところが次のログイン履歴を見てください。私がログインしたのはグリーンの部分で、それ以外は何者かがログインをしようと攻撃してきました。IPアドレスは色々なところから、ユーザー名に表示されているのはユーザー名ではありませんでした。当然、ログイン判定は「失敗」となり、ログインはされていません。※自分でパスワードを間違えてログインした場合も「失敗」になります。
花子これは、攻撃されてる~。
このように、自分のIPアドレスとは違うアドレスや、見覚えのないユーザー名でのログイン試行が記録されていれば、外部からの不正アクセスがあった可能性があります。
また、こちらのログイン履歴には、XML-RPCを利用した不正アクセスも。
幸い、CloudSecure WP Securityをすでにインストールしていたので、侵入は防げました。
なぜ、攻撃されてしまったのか思い当たることがあります。
↓ ↓ ↓
WordPressをインストールした直後には「Hello World」というサンプル記事が一件投稿されています。
この記事にはユーザー名やコメント欄が表示されるため、悪意のあるものはここを狙ってユーザー名を利用してログインを試みたり、コメント欄から不正に侵入しようとしたり、攻撃を試みます。
このサンプルページは、WordPressをインストールしたら、すぐに削除しておくことをおすすめします。
管理画面の「投稿一覧」から「Hello World」を選んで「ゴミ箱へ移動」→「完全に削除」で消えます。
WordPressをインストールして3日後に「Hello World」ページは削除しましたが、つかの間にもこうして情報が読み取られてしまうことがあります。
ログイン履歴にはこうして記録が残るので、ログインするたび、もしくは定期的に確認しておくと安心ですね。
セキュリティ対策はプラグインだけじゃない:日常でできること
CloudSecure WP Securityを設定したら、それだけでひとまず安心できます。ただ、プラグインだけで完璧になるわけではないので、日常的にできることもあわせて整理しておきます。
- パスワードの強化
- 投稿者名とユーザー名の変更
- プラグインの更新をまめに
- 定期的なバックアップ
- 信頼できるプラグインの選択
- 不要なプラグインは削除する
セキュリティ対策に100%完璧はありませんので、できる対策はすべてしておきましょう。
1.パスワードの強化
パスワードの強化は、WordPressのセキュリティ対策において最も基本的な部分です。
具体的な対策は次の通りです。
- 文字種を組み合わせる: 大文字、小文字、数字、記号を組み合わせる
- 長めのパスワード:最低でも12文字以上のパスワードを
- ランダムな文字列:辞書に載っている単語や名前、生年月日などは避けランダムな文字列を
ちなみに、私は文字数は20文字以上にしてます。パスワード管理ツールを使うと、複雑なパスワードを作ってくれるし、パスワードを保存するのが楽になります。
私が利用しているツールはロボフォーム。パスワード管理にはめちゃくちゃ便利です。
パスワードは頻繁に変更するよりも、一度、強固なパスワードを作って使い続ける方が強力でしょう。
2.ユーザー名と投稿者名の変更
すずのりユーザー名は、セキュリティ対策ではめちゃくちゃ大事なところです。
「この記事を書いた人」など、サイト上の表示名には「ニックネーム」が使われます。
この「ニックネーム」は、WordPressの初期設定のままだと「ユーザー名」と同じになっています。つまり、何もしないとユーザー名が堂々と公開されていることが多いのです。
ユーザー名が推測されると不正ログインを受けやすくなるので、ニックネームはユーザー名とは別の名前に必ず変更しましょう。
ユーザー名とニックネーム、表示名の変更に関する詳細は、下記の記事で解説しています。
3.プラグインの更新をまめに
プラグインに脆弱性(抜け穴)が見つかったとき、開発者は修正版を出します。更新せずにいると、既知の抜け穴を突かれやすくなってしまいます。
すずのりプラグインをインストールしたら自動更新を有効化にしておくといいですね。
プラグインを最新バージョンに更新することは、サイトのセキュリティを維持するために不可欠な作業。定期的な更新を行うことで、ハッキングやデータ漏洩のリスクを大幅に減らすことができます。
4.定期的なバックアップ
ハッキングや誤操作でデータが失われたとき、バックアップがあれば元の状態に戻せます。バックアッププラグインを使って、定期的に自動バックアップをとっておくと安心です。
万が一の事態に備え、安心してサイト運営を行うためにも、必ずバックアップをとりましょう。
5.不要なプラグインは削除する
インストールしているプラグインの数が多いほど、攻撃の入口も増えます。使っていないプラグインは「無効化」だけでなく「削除」まで済ませておくほうが安全です。
定期的にプラグインを見直し、本当に必要なプラグインのみを残すようにしましょう。
6.信頼できるプラグインの選択
プラグインの中には、悪意のある開発者が作ったものが混じっている可能性もゼロではありません。
インストール前に、レビューや更新頻度、開発元を確認する習慣をつけておくと安心です。
- プラグイン名をインターネットで検索し、ユーザーレビューや評価を確認する
- 信頼できる開発者やブロガーによる記事や評価を参照する
- プラグインの最新バージョンが数ヶ月以上更新が途絶えていないか確認する
これらのステップを踏むことで、より安全で信頼性の高いプラグインを選択することができます。プラグインの選定は慎重に行い、サイトの安全性を確保しましょう。
すずのり当サイトも参考にしてくださいね。
CloudSecure WP Securityで設定したログインURLを忘れてしまった場合
ログインURLを変更したときに、管理者宛てにメールが送信されています。メールのなかに変更後のログインURLが記載されているので、確認してください。
また、『エックスサーバー』のサーバーパネルにログインすると、 サーバーパネル > WordPress簡単インストール > 「詳細」ボタンをクリックすると、変更後のログインURLを確認できます。
まとめ:設定が終わったら
CloudSecure WP Securityの設定はこれで一通り完了です。
最初からこのプラグインが入っていたおかげで、セキュリティの仕組みはある程度整った状態からスタートできています。
あとは、ときどきログイン履歴を見ておくこと・・・それだけで、かなり安心して使い続けられます。
セキュリティ対策に100%完璧はありませんが、まずここを整えておけば、変な方向に心配しすぎなくて大丈夫です。
ホームページは、整えたあとが本番です。セキュリティの基盤ができたら、次は自分の仕事をきちんと伝えるページを作っていきましょう。
なお、エックスサーバー以外でWordPressを使っている場合や、CloudSecure WP Security以外のセキュリティ対策プラグインとして、SiteGuard WP Pluginを利用する方法もあります。
こちらもセキュリティ対策には優秀なプラグインです。
当サイトでも、以前はSiteGuard WP Pluginの設定方法を紹介していましたが、エックスサーバーでWordPressをインストールすると、CloudSecure WP Securityが最初からインストールされるようになったので、この記事では最初から入っているCloudSecure WP Securityを使って、まず確認しておきたいセキュリティ設定をご紹介しました。
SiteGuard WP Pluginの設定方法はこちらの記事でまとめています。