サイト放置してマルウェア感染にならないようにするための対策。
WordPressを使う限り絶対安全ではないけど、これをしておけばまあ安全だろうというやつと、もう1つ最強のディフェンス方法の計2つを紹介します。
一般的なWordPressサイト運営者なら当然やってるであろうセキュリティ対策
まあそもそもでこれぐらいはやってるよね?っていう確認。
- 本体、テーマ、プラグインの更新
- セキュリティプラグインの導入
- ログインURLの変更
- サーバの2段階認証
- (サイトの2段階認証)
- パスワードを長めにする(個人的にはこれ意味あるのか?感あるけど、確率の壁ができる)
入力があるようなプラグイン(問い合わせフォームやレビュー系など)は脆弱性を突かれやすいので、自動にして必ず更新。あとのは知らんけどまあやっといた方がいいのは確かなので気が向いた時に。
2段階認証については、自分はサイトもやった方がいいのでは?派だけど、有識者の間では、そこまではやらんくていいんじゃね?派が多かったから()にした。
逆にパスワードについては、個人的にはどんなに長くしてもどうせ漏れてると思ってるからあんまり信用していない。
あとレンタルサーバのWAFとかFTP制限も入れた方がいい。(なんかで外してそのままになってないか)
放置前に最低限やるべきセキュリティ対策
放置サイトは誰がメンテナンスするの?って話なんで、自動更新をオンにしましょう。
テーマとプラグイン両方です。全部オンにしろ。以上。
逆にしない理由はあるのか?アップデートでデザインが乱れるかも?放置サイトでそんなこと気にするな!
- WordPressの自動更新をオンに
- テーマの自動更新をオンに
- プラグインの自動更新をオンに
ちなみにWordPressのデフォルトテーマ系は自動更新をオンにできるぞ。
最強のセキュリティ対策は静的HTMLサイト化
Simply Staticでサイトを岩のように固い塊(静的HTMLサイト)にしてしまう。
WordPressであるが故の脆弱性はこれですべて消える。
個にして全、無機物、寿命のないサイトの完成。
なお、CMSがなくなるので編集はちょっと大変になる。
でも一度やればパスワード破られない限り無敵。完全放置ならあり。
おわりに
運がいいだけかもですが、自分20サイトくらい運営してて一度もやられてないので、まあまあセキュリティ意識が高かったのかもしれない。
自分の場合クライアントはほとんどいないから、やられてもごめんと悲しいで済む話ではあるけど、復旧とかめんどいしSEO下がるから嫌だよね。
セキュリティ対策はしっかりしましょう。
終わり。
コメント