mayudama_design 
こんにちは。Webデザイナーの山本です。
いきなりですが聞いてください…
実はお客さんのWordPressサイトがマルウェアに感染したのです。
セキュリティプラグインも入れて設定していたしばっちりだと思っていたのですが…
ということで解決策を探しているうちに素敵なセキュリティープラグインを発見したのでご紹介しようと思います!
ことの始まり
1年前くらいにWebサイトをWordPressで制作したお客様からご連絡がありました。
実は、1ヶ月くらい前からホームページのブログ一覧からブログを見ることが出来なくなっているようです…
Web制作をしてる方ならサーっと血の気が引きますよね。
で、サイトをみたところ何故かblogというフォルダがWordPressの直下にいる…!
だいぶ前に作ったサイトなので何かで作ったのかもしれないと思いつつ、フォルダを削除。
ブログ一覧が見れるようになったので一安心!かと思いきや、しばらくするとまた403エラー…!! これは何かおかしいぞ?と思いFTPを見るとまたblogというフォルダが出来てる!
色々調べた結果、マルウェアでは…?という結論に至りました。
解決編
Sucri SiteCheck
はじめはこちらのサイトにURLを入力し、チェックしました。
緑のチェックマークが出ていればマルウェアは検出されていないことになります。
前述のお客様のサイトはここではひっかかりませんでした。
wpdoctor Malware scanner
プラグインでなんとかならないかな…と思っていたらありました!
こちらのプラグイン「ワードプレスドクター ワードプレス マルウェアスキャナー」!
wpdoctor Malware scannerが良い!と思った理由はこちら
- 日本のプラグインなのでわかりやすい
- スキャンから診断、ファイルの編集・削除ができる
- セキュリティ向上の設定が簡単
- パーミッションの設定の脆弱性を指摘してくれる
- 変なファイルがあれば指摘してくれる
- 販売元のコラムが勉強になる
日本のプラグインなのでわかりやすい
普段、All In One WP Security & Firewallを使っていたのですが、日本語化ファイルをプラグインのフォルダにいれなければ日本語化ができない…
wpdoctor Malware scannerはアップロード、有効化でそのまま日本語!
wpdoctor Malware scannerのページにはプラグインの使い方の説明が詳しく丁寧に記載されています。めちゃくちゃわかりやすいです。
スキャンから診断、ファイルの編集・削除ができる
プラグインからサイトをスキャンすると、マルウェアが含まれるファイルがまとめてわかります!
さらに、ファイルの編集・削除もできます。
ファイルの編集からマルウェア部分だけがハイライトされて見れるのもかなり良いです。変な文字列、コードがまるまるプラグインから削除できます。
※ファイルの編集・削除は本当に慎重に行ってくださいね。
セキュリティ向上の設定が簡単
WordPressで1番のセキュリティ対策はログインページのURLを変更することです。デフォルトの設定ではURLに「wp-admin」をつければログインページにアクセスできてしまいます。
入り口のURLを複雑にすることがセキュリティーになったりします。
wpdoctor Malware scannerでも、All In One WP Security & Firewallで出来たような、ログインページのURL変更なども出来ますし、ログイン失敗の回数制限なども設定できるようです。
セキュリティレベルの点数が出るのでちゃんとセキュリティが安全かどうかの判断が視覚的にわかりやすくなっています。
パーミッションの設定の脆弱性を指摘してくれる
パーミッションとはWebでは、サーバー上でのアクセス権を表します。
Webサイトのファイルやフォルダにそれぞれパーミッションが設定されています。
ざっくり言うと「読み」「書き」と「実行」のアクセス権を読みだけとか、書き込みも出来るよとかが設定できるのです。
大事なファイル、フォルダが読み書き実行すべてアクセスができる状態だと悪い人に書き換えられることが簡単になってしまいます。
とはいえ、 「どのファイルをどのパーミッションにすればいいの!?」となります。私もそんな一人です。
そこでwpdoctor Malware scannerで感動したのが、プラグインを有効化して「セキュリティー」というところを見ると、脆弱性があるところは赤くハイライトされてる…!
ファイルの場所と現在のパーミッションと推奨のパーミッションが比べられるのでどこをどう直せばいいのかがわかりやすくて、いちいち調べに行かなくて良いのがGoodです!
変なファイルがあれば指摘してくれる
最後にこれはすごくびっくりしたのですが、変なところに.htaccessがあったり、変なファイルがあったりするとスキャンの段階で赤文字で
「〇〇/wp/〇〇にある変な.htaccess消してね!」
のようなもっと丁寧な文章がめちゃくちゃ親切にでてきます。
プラグインにホスピタリティが感じられて感動しました。
販売元のコラムが勉強になる
wpdoctor Malware scannerのプラグインを有効化すると、wpdoctor Malware scannerの販売元のコラムが一覧になって出てきます。
すごく勉強になるコラムばかりでお客様に話せるネタも増えそうです!
まとめ
今回はwpdoctor Malware scannerという素敵なセキュリティープラグインがあったので、ご紹介しました。
WordPressはとても便利ですが、オープンソースのため攻撃しやすくハッカーに狙われやすいデメリットがあります。
また、プラグインから攻撃されることもあるので本当にセキュリティー面での対策はマストです。
ほとんどの機能が無料という点もうれしいですね。
WordPressでサイトを作ったけどセキュリティー面が気になる…という皆さんもよかったらぜひ使ってみてくださいね!