ロリポップで、WordPressのセキュリティ強化策

2015年1月26日(昨日)に、「ロリポップ!」と「heteml(ヘテムル)」が、

WordPressの安全性を高めるセキュリティプラグイン
「SiteGuard WP Plugin」を推奨するというニュースが流れました。

 

2014年 10月27日のニュース
ニュース:「「ロリポップ!」「heteml(ヘテムル)」WordPressの安全性を高めるセキュリティプラグイン 「SiteGuard WP Plugin」を「WordPress簡単インストール」機能に標準搭載」
http://pepabo.com/news/press/201410271300

2015年 1月26日のニュース
http://lolipop.jp/info/news/4610/

 

そして、ロリポップを使っている方の所にも、そのご案内のメールが届いたようです。

ご案内メールの一部

WordPress簡単インストールご利用履歴のある方全員へお送りしています
——————————————————————

平素よりロリポップ!をご利用いただき、誠にありがとうございます。

ロリポップ!ではこのたび、WordPressへのセキュリティ対策を更に強化するため、
従来より行っておりますWordPressへの攻撃に対する検知・防御方法を変更し
セキュリティプラグイン『SiteGuard WP Plugin』を使用する方法を採用いたしました。

 

ただ、サロン様の中には、このメールにどう対応していいか わからず、

放置してしまっている方もいると思うので、

今回は SiteGuard WP Plugin を導入する方法をご説明します。

 

WordPressのプラグインとは?

まずは、基礎中の基礎、「WordPressのプラグイン」についてです。

WordPressは、ご存知の方も多いと思いますが、

ホームページ管理を便利にするシステム(コンテンツ・マネジメント・システム = CMS)です。

 

なぜこんなにも人気になっているかというと、最大の理由はオープンソースというライセンスを使っていて、無料で利用することができるからです。

 

しかし、WordPress単体では、機能を使いやすくするための設定が困難です。

そこで導入するのが「プラグイン」という、「後付け機能」です。

 

これは、雑に言うと

「お料理(システム)のスキルは無くても、
 カレー粉(プラグイン)をかけておけば、ある程度美味しい」

的なもので、
(実際には、非常に高度なカスタマイズができるので、あくまでもイメージです)

WEBの知識がなくても、便利な機能をすぐに使うことができます。

 

WordPressのセキュリティ

しかし、使っているユーザー数が多い程、その攻撃も増えてきます。

特にWordPressは、知識が無い人がワンクリックインストールをすると、

http://hogehoge/wp-login.php

で、簡単にログイン画面に移動できます。

 

特に、昔から使っているユーザーのサイトでは、

ユーザー名を admin にして、

パスワードを店舗の電話番号とかにすれば、

ログインできてしまうケースがあります。

 

そのため、攻撃が多いので、サーバー会社としてはセキュリティ対策を「推奨」という形で、

今後のWEBに関する知識の無いユーザー(ワンクリックインストール)にはほぼ義務づけた感じです。

 

 

SiteGuard WP Pluginってどんなもの?

その中で、ロリポップを初めとしたサーバー会社が、SiteGuard WP Plugin の導入を推奨しています。

プラグインの発行は「jp-secure」という会社が行っています。

http://www.jp-secure.com/cont/products/siteguard_wp_plugin/

 

以下のような機能があるようです

スクリーンショット 2015-01-27 4.04.23

特に重要だと感じるのは、

  • ログインページ名の変更
  • ログインロック

あたりです。

 

一括でログインを試みようとする悪意のあるプログラムに対応するための最低限必要な機能です。

 

インストールの方法

既にWordPressを運用していると仮定して、インストールの方法をお伝えします。

WordPressのサイドバーに「プラグイン」というメニューがあります。

スクリーンショット 2015-01-27 4.06.35

 

右上に「SiteGuard WP Plugin」 と入力してEnterキーを押すと、下に該当のプラグインが表示されます。

スクリーンショット 2015-01-27 4.08.57

 

いますぐインストールをクリック

スクリーンショット 2015-01-27 4.09.07

 

すると、確認が表示されますが、「OK」で大丈夫です。

スクリーンショット 2015-01-27 4.09.14

 

自動的にインストールをしてくれます。

下にある「プラグインを有効化」をクリックしましょう。

スクリーンショット 2015-01-27 4.09.21

 

すると、ログインページURLの変更が実行された注意書きがでます。

これで、

http://hogehoge/wp-login.php

からはログインができなくなっています。

 

注意書きにもありますが、今後は別のURLからログインすることになります。

新しいログイン画面は

http://hogehoge/wp-login.php  ではなく

http://hogehoge/login_12345  という、

ランダムな5桁の数字が含まれた画面になります。

このURLをブックマークしておきましょう。

スクリーンショット 2015-01-27 4.09.32

 

一度、ログアウトをして、ログインをしなおすと、

こんな感じで、日本語の文字入力が追加されていると思います。

スクリーンショット 2015-01-27 4.10.02

 

また、ログイン後のサイドメニューからSiteGuardの「ダッシュボード」をクリックすると

スクリーンショット 2015-01-27 4.20.54

 

ログインを試みた記録が出てきます。

スクリーンショット 2015-01-27 4.10.41

今は、インストールしたばかりなので、数が1つですが、

しばらく運用しただけで、ここに「失敗」の数が増えて行くはずです。

自分のサイトがいかに攻撃にさらされているか、把握するだけでも勉強になります。

 

基本的には、まずはこれだけでもセキュリティの強化になります。

他の設定方法も、お伝えします。

 

その他の設定方法

その他にも、たくさんの項目が修正できます。

スクリーンショット 2015-01-27 4.24.08

ただ、全部を把握する必要はありません。

インストールをしただけでも、自動的にセキュリティ対策は有効になっているので、

現状でも、基本的には問題ないと思われます。

 

ただ、

「よくパスワードを忘れる」という方は、

「ログインロック」の部分で、パスワード入力回数を増やしておくこともできます。

一定回数失敗したら、ロックするという機能です。

スクリーンショット 2015-01-27 4.25.59

 

これで、あなたのWordPressのセキュリティを強化することができます

 

セキュリティについて

ただし、これは一般的なセキュリティ強化です。

「これをすれば完璧」というものではありません。

 

例えば、SiteGuard のプラグインを入れて、ログインURLを変更しても、

wp-admin/ と入力すれば、自動的にログイン画面を紹介してくれます(笑

より強化するには、別のプラグインが必要となりますが・・

初めは、このくらいでも、対策をしておいた方がいいです。

 

 

例えば、エステサロンを経営されている方なら、

お客様に

「冬でも紫外線は強いんですよ」とか、説明していませんか?

「目に見えないけれど、紫外線はいっぱいなんですよ」 とか。

 

日焼け止めクリームを塗らずに外出して、

いつの間にか日に焼けてシミができても、

それは、「日焼け止めを忘れた人」の責任です。

 

 

ネットでも同じで、今の時代は迷惑メールが届くのは当たり前。

Facebookで「キャンディークラッシュ」とかのスパム招待が届くのもあたりまえ。

自分のサーバーが攻撃されているのも当たり前の状況です。

紫外線のように、目に見えないけれど、攻撃が降り注いでいます。

 

「これをしておけば、絶対に大丈夫」というものではありませんが、

対策をしないよりは、もちろん対策をしておいたほうがいいのです。

 

簡単にインストールできるものなので、ぜひ挑戦してみてください。

 

ロリポップでのWordPres運用での、注意点

ロリポップを使っているサロンオーナー様は、とても多いと思います。

そんなお客様から、「WordPressにログインできなくなった」というご相談を頂くことが増えました。

理由としては、2つの要素があります。

 

一定回数の攻撃を受けると、WordPress自体をロックするようになった

これは、毎回 .htaccess を修正する必要があるので、毎回手間がかかってしまいます。

お一人お一人、できるだけ対応したいのですが、

一人30分のサポートが1日数人となると、けっこう余裕が無くなってきます。

 

IPアドレスでログインロックをかけている

ロリポップは、IPアドレスでWordPressをログインする対応をとっています。

IPアドレスは、パソコン1つ1つに割り当てられるインターネット上の住所です。

 

しかも、この住所は、場所を移動したり、接続するものを変えたり、日にちを置いたりすると、

自動的に変わります。

 

つまり、「今日は、近くのスタバの回線を使ってブログ更新しちゃお♪」と言う場合、

スタバに行って、コーヒーフラペチーノを注文したのに、WordPressを更新できず、

美味しく飲み干してお店を後にする・・なんてことも起きます。

DSC_2188

今回の、ロリポップの仕様変更では、以下のようになっています。

このたび、WordPressへのセキュリティ対策を更に強化するため、従来より行っておりました「WordPressへの攻撃に対する検知と.htaccessを利用した防御機能」を停止し、セキュリティプラグイン『SiteGuard WP Plugin』の推奨を決定いたしました。

 

なので、今後はIPアドレスの書き換えが行われないと思いますが、

念のため、それについても触れておきます。

 

 

IPアドレスのロック解除の仕方

ロリポップでWordPressを運用する方は、こんな画面に遭遇したことがあるんじゃないでしょうか。

 

lolipop-wordpress-1

これは、WordPressが一定回数の攻撃を受けた時にロリポップが自動的に行った対策によるものか、

または、いつもと違う場所からログインを試みた時に起きます。

 

毎回、WEB制作会社に修正を依頼するのに抵抗を感じる方もいると思うので、

この解消法をお伝えします。

 

FTP接続を行うことができる場合(知識がある方 限定)

まず、なんらかのホームページ編集ソフトを持っていたり、

サーバーに接続するためのFTPソフトを使っている方は、

サーバーに接続できるかを確認してみてください。

 

サーバーに接続できたなら、
以下の設定ファイルを書き換えればログインすることができるようになります。

サーバーの中 → ワードプレスのログイン先 → .htaccess

という順に、.htaccess というファイルを探してみてください。

 

例えば、WordPressのフォルダが wp の場合は、

http://hogehoge/wp/.htaccess

という位置にありますので、ダウンロードをします
※ただし、普通にアクセスしてもみることができないファイルです

 

ここに、「わたしは安全ですよー」という情報を書き込みます。

具体的には、自分のIPアドレスか、ホスト名を書き込みます。

 

ただし、ドットから始まるファイルなので、専用の編集ソフトがないと、普通は編集できません。

そこで、ファイル名を変えます。

.htaccess を htaccess.txt という、テキストファイルに変えます。

これで、テキストソフトで普通に編集できるようになります。

 

 

IPアドレスを調べてみよう

「IPアドレスとかって、あれでしょ?

 住んでる所が特定できて、脅迫電話とかかかってくるヤツでしょ?」

 

と、思ったあなたは、ワイドショーの視聴回数制限を超えているかもしれません。

 

IPアドレスは、悪用されるとトラブルがありますが、
自分で確認して自分で設定する分にはなんの問題もありません。

みんなが飲み会の会場に行く時につかっているGoogleMapのほうが、
位置情報を送信している分、よほど危険ですから。

 

「確認くん」というサイトで、調べることができます。

http://www.ugtop.com/spill.shtml

アクセスすると、自分のインターネット上の居場所を確認することができます。

隠してある部分には、英数字が入っています。

スクリーンショット 2015-01-27 5.14.14

 

このIPアドレスを、WordPressに「安全だよー」と伝える必要があります。

そこで、先ほどダウンロードして、名前を変えた htaccess.txt を見てみましょう。

「開けないっす」という方は、テキストエディタを何か入れましょう。

http://www.forest.impress.co.jp/library/nav/genre/offc/document_txteditor.html

 

たぶん、こんな感じの内容になっていると思います。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /***/
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /***/index.php [L]
</IfModule>

# END WordPress


# BEGIN Lolipop [ http://lolipop.jp/manual/blog/wp-htaccess/ ]

<Files wp-login.php>
ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html
Order deny,allow
Deny  from all
Allow from *********

</Files>

# END Lolipop

 

ここの最後のほうにある

Allow from *****

という部分が、「このIPアドレスは許可する」という文言になります。

もし、あなたのIPアドレスが、 111.222.3.456

なら、

Allow from 111.222.3.456

と、書き換えます。

 

または、ホスト名全体を許可する場合は

Allow from au-net.ne.jp

と、書き換えます。
※こちらのほうが、楽ですが、セキュリティ的には弱いです

 

これを、もう一度FTPソフトを使ってサーバーにアップロードします。

アップロードした後に、サーバー上で .htaccess という、

元のファイル名に書き換えれば正常に動きます。

 

※サーバー内にある元の .htaccess を一旦削除するか、
 別の名前にしないと、名前を変更できません

 

これで、WordPressにログインできるようになるはずです。

 

お疲れさまです。

ちょっとコーヒーブレイクにしましょう(笑)

さっきの、コーヒーフラペチーノと合わせて、お腹ちゃぽちゃぽですね。

NKJ56_coffeecok500

 

FTP接続ができない場合 (比較的 初心者向け)

「FTPって・・・何?」と言う方は、こちらの方法で修正をします。

 

ただし、上記のFTP接続同様、大切なファイルにアクセスもできるので、

本当に初心者の方は、必要なファイル以外は修正しないようにご注意下さい。

また、誤って削除してしまった場合や、何らかのエラーが出た場合も、

自己責任でお願いします。その時はWEB制作会社にご相談下さい。

 

 

まずは、ロリポップのユーザー管理画面にログインをします。

https://user.lolipop.jp

スクリーンショット 2015-01-27 5.29.30

この画面からログインする方法を知らない場合は、WEB制作会社に確認をしましょう。

その時に、こう伝えるといいです。

 

「いつも、WordPresのIPアドレス書き換え、ありがとうございます。

 毎回お手間をかけてしまうのは恐縮なので、こちらの記事を見て、今後自分でやってみようと思いました。

 こちらの記事 → https://www.healing-solutions.jp/blog/archives/1454

 大切なファイルを書き換えるとかはしないように気をつけるので、

 恐れ入りますが、ロリポップのユーザーアカウントとパスワードを教えて頂けますか?」

 

WEB制作会社さんのプライドを傷つけないように伝えると、比較的 好意的に教えてくれます。

ただし、「あなたの管理力が足りないからよ!」というニュアンスが伝わると、

心のシャッターを閉じて「それが、仕様です」攻撃を繰り出す人が多い人種なので、ご注意下さい。

※すみません、基本的には皆さん優しく教えてくれます(笑)

 

ログインをしたら、サイドメニューにある「ロリポップFTP」をクリックします。

スクリーンショット 2015-01-27 5.34.20

 

そうすると、サーバーの中のファイルを見ることができます。

スクリーンショット 2015-01-27 5.37.15

くれぐれも、「削除」とかを勝手にしないようにしましょう。

一見、なんのことかわからないファイルも、大切な情報が入っている場合があるので。

 

その中で、WordPressが入っているファイルを探します。

もし、ブログを http://hogehoge/wp/wp-admin  から修正しているのであれば、

wp というフォルダを探します。

スクリーンショット 2015-01-27 5.40.43

 

ここでは、.htaccessの内容を直接変更することができます。

絶対に修正しちゃダメな所もあるので、そこは触らないように。

スクリーンショット 2015-01-27 5.42.37

IPアドレスを修正できたら、保存をクリックします。

スクリーンショット 2015-01-27 5.47.08

 

ちなみに、Allow fromは、複数追加することもできます。

その時は

Allow from 111.123.4.567
Allow from 222.123.4.567

のように、行を変えて追加します。

自宅と、自分のお店とか。

 

ただ、IPアドレスは変わるので、設定したらずっと大丈夫というものではありません。

どうしても、カフェとかで仕事したい場合は、「ホスト名」を入力します。

Allow from au-net.ne.jp

とか

 

これで、WordPressにログインすることができるはずです。

もし、できないようなら、やはり専門のWEB制作会社に相談してください。

 

注意

ロリポップでは、「ホームページの保存場所」を変えることができます

この機能により、トップのフォルダの中にはファイルが存在していない場合があります。

例えば、「siteA/wp/」という場所にある可能性もあります。

wpを探せない方は、WEB制作会社に確認をするか、

または、「独自ドメイン設定」から、どの場所にホームページファイルが入っているか確認しましょう

スクリーンショット 2015-01-27 6.08.36

 

まとめ

長くなっちゃいましたね。

もう一杯、コーヒー飲みます?

あ、もう大丈夫ですかね。

 

自分のクライアントも、

相談下さるお店の方も、

WordPressを使っているケースが多いです。

 

WordPress自体は、簡単にホームページを管理できる仕組みですが、

簡単だからこそつまづく

  • セキュリティ面
  • 設定面

があります。

 

本当に便利なツールなので、ぜひこの記事を参考に、

安全に、安心して使えるようにしていってください。

 

※この記事を参考にセキュリティ設定を行って、それでも攻撃された場合でも、
 弊社は一切の責任を負いかねますので、自己責任で対応をお願いいたします。

  • このエントリーをはてなブックマークに追加
  • LINEで送る
こんなブログも読まれています