第３７回　初心者がワードプレスの独学を始める。　まずはセキュリティのプラグインSiteGuard　無料SSL化　 Route55Go

まずはセキュリティ、SiteGuardを

ローカルサイトから本番サイトへ移行したら、先ずセキュリティを整えたいです。ローカルサイトには、セキュリティのプラグインSiteGuardがインストールしてあったので、移行した本番サイトには既にSiteGuardがあります。SiteGuardを有効化して「ログインページ変更」をONにします。※SiteGuardの設定などよろしければ第24回を参照ください。

前回の第36回では、ローカルサイト（パソコン側）から本番サイト（サーバー側）への移行が無事に終わりました。ローカルと違いセキュリティ面が心配です。素人です。実はそんなに気にしなくても大丈夫じゃないか思ってました。気にして無かったのです。

現在、運用中の当サイト「route55go.com」のセキュリティに使っているSiteGuardのデータからです。油断して、SiteGardの機能で最有効な「ログインページ変更」をしていませんでした。
約1カ月間、SiteGuardのログイン履歴も見ずに放置してました。いざ確認すると約350ページ分のログイン履歴がありました。変だと思いました。大量に0.5秒単位くらいのログがありました。「XMLRPC」攻撃と言われても素人で分かりません。

さらに恐ろしいデータを見ました。その一部が以下の画像になります。ベタ塗で隠していますがログインユーザ名が盗まれています。IPアドレスを見るとバラバラで多数ありました。と言うことは簡単にログインユーザー名がバレているのでしょう。どうにかパスワードでブロックしたようです。これを発見した時は本当にビックリしました。気楽にパスワードを「admin」にしていたらとゾッとしました。

こんなことが実際にあるのだと思い知らされた感じです。たぶん、ログインユーザー名と表示名を同じにしていたことに原因があるのだろうと思いました。

SiteGuardの履歴を見てすぐに「ログインページ変更」をONにしました。

試しにしばらく様子を見ていましたが「ログインページ変更」だけでは不十分だったようで異常な履歴が残っていました。「画像認証」を追加しました。それ以来、ぴたりとSiteGuardの履歴に異常は残っていません。「ログインページ変更」＋「画像認証」で強固になったようです。最低これくらいが必要なようです。現在は「ログインページ変更」＋「画像認証」+「フェールワンス」も有効にしています。※SiteGuardの使い方などは第24回、第25回を参照ください。

第36回に本番サイトに移行しました。そのためローカルサイトでSiteGuardを使ってログイン履歴を残していた場合、データベースに履歴が残っています。気にしなければそのままで良いと思います。ちなみにデーターベースをphpMyAdminで見ると「wp_siteguard_history」にあるようです。

気になるようでしたらチェックして「削除」すれば消せるようです。

無料SSL化（コアサーバー）

SSL（Secure Sockets Layer）化するとデータが暗号化されて訪問者のブラウザとサーバー間で通信されるようです。詳しいことは分かりません。
コアサーバーでは無料SSL化が可能です。ただしsubだけのようです。（最終的に行った独自SSL化については別記載の予定です）「subだけ」とはabc、www付きのサブドメインのようです。素人なので説明が上手くできません。「abc.route55go.com」を無料SSL化します。

コアサーバーの新コントロールパネルにログインします。パネル左から「サイト設定」をクリックします。「abc.route55go.com」設定変更のアイコンをクリックします。