00:05
この番組は、「田舎暮らしならコッコブログ」の提供でお送りいたします。
はい、おはようございます。東京から島に家族で移住をして、ブロガーをしたり、コミンクを直したりしているコバ旦那です。
この番組は、地方移住や島暮らしの経験談と、田舎でできる仕事や生活について試した結果をシェアする、
いなかいじゅうドキュメンタリーラジオです。
今日は日曜日ということで、いつもね、曜日を決めてお話をして、
テーマをね、曜日を決めて話をしているんですけれども、
最近ちょっと迷ってきたというか、僕は果たして需要のある話というか、
皆さんが聞きたい話を話せているのだろうかというところがですね、
ちょっと1回見直さないといけないかなと思って、
これから試していこうかなと思います。
いろんな話をしてみたりとか、1ヶ月はこの話をずっとしてみたりとか、
そういう形で少し需要をチェックしながらね、ちょっとやってみたいかなと思いました。
今日は日曜日なんですけれども、毎週日曜日はね、結構自由に話をしていて、
今日はそのTwitterの方で昨日なんか少しコメントをいただいたりとか、
なんかすごく聞けてよかったですみたいなところがあって、
ワードプレスブログのセキュリティの話をしたいなと思います。
トークテーマはですね、ワードプレスブログをやっている人が知っておきたい3つのセキュリティ対策ということで、
ちょっとお話、若干専門的な話をしたいなと思うんですよね。
日曜日なのであまり聞いてくれている方はいないかもしれないんですけど、
アーカイブで聞ける方とか、ノートの台本の記事でもテキストで読んだ時に
ちょっとわかりやすいようにお話もしておきたいかなと思います。
今日3つですね、ワードプレスブログで、私も運用してるんですけども、
前職、私はシステムエンジニアをしていました。
結構そのウェブ系のシステムというよりは、
割ともっとしっかりセキュリティ要件が求められていて、
お客様の業務システムですね。
結構業務システムって言っても何のことやねんって感じあると思うんですけど、
一般的な会社さんの例えば人事労務システムとか、給与関係のシステムとか、
あと僕は教育系のシステムですね、社内研修向けのシステムだったりとか、
当然、もっと大きいシステムとかも営業販売とかね、
いろいろと個人情報を扱うようなシステム、
特に人事労務系は給与とか、個人情報がめちゃくちゃ満載、
マイナンバーとかもあったりするので、結構セキュリティ大変なんですけれども、
そういったところの業務システムを開発しているときに、
セキュリティの対策というところをやっておりました。
設計をやっていたんですよね。
なのでそういう話がですね、実はワードプレスにも生きているとか、
当たり前の知識として知っておかないといけないというか、
リスクが実はあるんですよという話もできるかなと思ったので、
今日はそんなお話をしたいかなと思います。
先に3つですね、なるべく分かりやすいように、
僕もそんなセキュリティ専門家の部署にいたわけじゃないので、
03:03
システムエンジニアとしてお客さんにコンサルというか、
要件定義難しい言葉だな。
こういうシステムを作ると安全に使えますよって話をするときには、
やはり分かりやすい言葉でお伝えをしないといけないので、
今回もお客さんに話したような気分で、
皆さんに分かりやすくお伝えできたらいいかなと思います。
3つのセキュリティ対策ですね。
1つはログイン画面を隠しましょう。
1つ目がログイン画面を隠しましょう。
2つ目がですね、これもちょっと難しいんですけど、
多要素認証を入れましょう。
多要素認証を入れましょう。
3つ目がログインロック機能を入れましょう。
ログインロック機能を入れましょうということで、
2つ目の多要素認証って何やねんっていうところからなんですけど、
これはちょっと分かりやすく、
言葉としてはこういう言葉で、
もし知りたくなったらね、
多要素認証とか二要素認証みたいな話でキーワードをググると
さらに分かるという形なので、
専門用語っていうのは正式名称はお伝えするんですけど、
なるべくね、口頭の説明では分かりやすくお話をしていきたいなと思います。
1つ目のログイン画面を隠しましょうなんですけれども、
これはTwitterの方でもつぶやいて、
割となんかそうなんだみたいな感じで、
ちょっと心配になって急に行動された方もいらっしゃったんですけども、
ワードプレスの管理画面。
ログインIDとパスワードを入力をして、
投稿画面に入っていく画面のことを指しています。
これのワードプレスの管理画面のログインページはですね、
URLあると思うんですけども、
多分あなたのドメインと、
何とか何とか.comスラッシュのその先にはですね、
ワードプレスのwp-login.phpというものを打たれた状態というか、
そういうようなURLになっていると思うんですけども、
実はいろんな最初のワードプレスの規定の値はですね、
全部これになっているんですね。
ということはどうなるかというと、
普通に皆さんの一般的なサイトのアドレスに、
自分でアドレスバーにですね、
このwp-login.phpと打ち込むとですね、
実はこのログイン画面のURLというものは正しくて、
皆さんの大事な大事なワードプレスのサイトのですね、
ログイン画面に誰しもがアクセスできてしまう状況にあると。
そういう状況なんですよね。
家で例えると、
通常家ってなんか門があって、
いけがきとかでだんだん目隠し状態になっていたりとか、
普通に家の敷地内とかに人が入ってきたらなんとなくわかるし、
その人が玄関の前で鍵ガチャガチャやってたらめちゃくちゃ怪しいですよね。
そういう状況になっちゃってるという感じなんですよね。
ネット上だからさ、別にそんな見られてないわけじゃないです。
本当に玄関の前で鍵穴を覗いている状態っていうのが、
06:04
ログイン画面を隠していないとそうなってしまうということです。
ちょっと怖いですよね。
他人が自分の家の鍵穴を覗き込んだら嫌ですよね。
そういう状況にあるということですね。
これはですね、ログイン画面のURLを変更したりとか、
そもそもアクセスできなくすることで、
そもそも鍵穴を隠しちゃうことで、
入ってこれなくするというセキュリティ対策が取れます。
ワードプレスもTwitterの方でもご紹介したんですけれども、
サイトガード、ごめんなさい。
名前で忘れちゃったんですけど。
僕が使っているのは、
見えなくなっちゃった。
Twitter見てください。
プラグインがあったと簡単にできますね。
これを使うことで、ログイン画面のURLを変更して、
そもそもアドレスバーから直接入力することができなくなったりとか、
さらに高度なセキュリティ対策をするのであれば、
接続元のIPアドレスを絞ってしまうということができます。
接続元のIPアドレスって何?というところがあるんですけれども、
例えば皆さんが普段使っているパソコン、
一台一台あると思うんですけど、
パソコンが接続元の数字の裏列みたいなのが付いているんですよね。
識別する番号が付いているんですけれども、
この機械からサーバーの方に、
インターネットの世界の先の皆さんのサイトの方にアクセスするときに、
接続できる端末ですね、パソコンとかっていうのを指定して、
普段自分が使っているパソコンからしかログイン画面にはアクセスさせないよっていうような設定もできるというわけですね。
これをすることで、それをするとかなり強度が高まります。
あなたのパソコン以外からは、
仮にログイン画面がわかったとしてもアクセスできないので、
鍵穴が隠せているというか、そもそもたどり着かないというか、
そういう状況になっているということですね。
一般的な業務システムのログイン画面とかも、
管理画面のページとかはそういうようなものが一般的かなと思います。
接続できる端末を絞ってしまうというのが、
一般的な業務システムのセキュリティレベルになっておりますので、
これをここまでやるというところは、
一応メリットはあるんですけど、
例えばブロガーさんとかライターさんとかだと、
なかなか自宅以外のパソコンとか、
例えばパソコンが2台あったりとか、
自分のパソコンが持ち運びできるんだったら、
たぶん大丈夫だと思うんですけど、
スマホからもやったりとかもする方もいらっしゃると思うんですけど、
全部登録しておけばいいんですけど、
結構やっぱりめんどくさいと思うので、
とりあえずログイン画面を隠しておくということだけでも、
まあまあ問題ないかなと思いますね。
2つ目が、これだけでだいぶ8分ぐらい経ってきたな。
2つ目が多要素認証を入れましょうという話ですね。
多要素認証を入れましょう。
これ一般的にログインIDとパスワードで認証することが大変だと思うんですけど、
これって実は強度そんな強くないんですよね。
IDとパスワード。
特にパスワードとか使い回しとかしていると、
ブラックリストみたいなこととかに
09:01
分かっちゃっているとね、
結構僕も危ないなと思うんですけど、
いろいろ使い回しとかしていると
全部やられちゃうかもしれないので、
IDとパスワードは、
それぞれ個別にサイト登録、
もちろん使い回ししないのが前提なんですけど、
最近はですね、
このIDとパスワードというものがですね、
結構高性能なパソコンとかでプログラミングを組んで、
総当たり攻撃って言うんですけれども、
例えば全部の数字のパターンをね、
一気に何秒間でやってしまうみたいなところ、
組み合わせみたいなのもね、
できてしまうので、
実はあまり強くないんですね。
そこに加わったのがですね、
二要素認証ということです。
要素が別ということなので、
例えばIDとパスワードという組み合わせ認証に加えてですね、
二つ目の認証、
例えばデバイス認証ですね。
いろんなサイトとかウェブサイトとかに登録をすると、
例えばメールが飛んできて、
メールに何か番号が書いてあって、
セキュリティーキー、
ワンタイムパスワードみたいなこと言ったりしますけど、
そういうのがあったりとか、
最近スマートデバイスだと、
生体認証ですね、
指紋とか、
何かそういうのがあったりしますよね。
あと何か電話番号を登録すると、
そこにワンタイムパスワードみたいなのが、
セキュリティーキーみたいなのが送られてくる、
こういうのをデバイス認証って言うんですけど、
この人しか持ってないデバイスに、
その人しか分からない番号を送って、
セキュリティーを高めるという行為で、
これが多要素認証になりますので、
これを加えると非常にセキュリティーとしては高くなりますね。
ちょっとユーザビリティがやっぱり悪くなっちゃうので、
手間がかかるね。
結構大変なんですけれども、
こういうのを入れると、
かなり強くなるよというお話、
ご紹介でございました。
ちなみに僕はワードプレスに、
この画像認証というものも入れています。
プログラムで、
ちょっと歪んだ文字とか、
プログラムで、
なかなか読み取りづらい。
これも精度が上がってきてたら、
ちょっとあれなんですけど、
人間でしか識別できないような、
ちょっと歪んだ文字なんかをですね、
画像で組み取って、
それを入力をしてというところで、
画像認証を入れているので、
少し強度は強い状態になっています。
最後3つ目ですね。
ログインロック機能を入れましょうということです。
ログインロック機能って何というところなんですね。
例えばiPhoneにパスワードをロックかけている人は、
複数回間間違えると、
一滴間、
例えば30秒とか、
ちょっとログインできなくなっちゃったみたいな、
ちょっと待ってますみたいな、
そういうところがあると思うんですね。
iPhoneなんかだと何回も繰り返していると、
例えばそれが待機時間がですね、
30秒だったり、
やべえ、4回目間違えた、
30秒待ってると、
5回目間違えた、
やべえ、
次1分間違えてるみたいな、
あれそろそろやばいなって考えて、
もう1回入れると、
やばい間違えた、
あと3分待たなきゃみたいな感じなので、
どんどんどんどん長くなったりするんですけど、
こういうのがですね、
ログインロック機能って言いますね。
最終的に全部待ち、
例えば10回とか間違えると、
完全にロックされちゃうみたいなこともあるんですけど、
例えば複数回ログインに失敗したときにはですね、
一定時間ログインをロックするっていうのが、
このログインロック機能になります。
これ何でそんな機能を入れているのかっていうと、
先ほど申し上げたこの総当たり攻撃ですね、
IDとかパスワードとか、
暗証番号もそうなんですけど、
12:00
これをですね、
総当たり攻撃というプログラムを組んでやるとですね、
何百通りもですね、
全部試すわけですよ。
試すんですけど、
例えば3回目ぐらいでログインロック機能によってですね、
ちょっと待機の時間をかけさせることによって、
時間がかかるわけですよね。
おまけに10回やったら完全ロックとか、
とりあえず守れるわけですよね。
総当たり攻撃に対して時間をかけさせることで有効にもなるし、
当然完全にロックしてしまえば、
ロックされた側はたまたまじゃないんだけど、
ちゃんとその人が悪意のない、
ちゃんとした所有者の方であれば、
秘密の質問とか問い合わせとかをして、
ちゃんと復旧はできるわけで、
他者からは守れると、
悪意のある攻撃者に対しては守れるというようなことがですね、
このログインロック機能でございます。
ワードプレスもIDパスワードとかの入力に対してですね、
複数回間違えたらロックするみたいな、
あとメールを通知するとかもログインロック機能ではないんですけども、
そういうのも不正なアクセスが来ているなみたいなのが検知できますので、
こういうのもプラグインですね。
さっきプラグインの名前を私も忘れちゃったんですけど、
サイトガードワードプレスプラグインみたいな、
そんなやつだったと思うんですけども、
サイトガードワードプレスプラグインですね。
これを導入すると一気にできるというような感じですかね。
ワードプレスを運用されている方はですね、
セキュリティというところも今回いい機会かなと思いましたので、
ぜひ導入してみてはいいのかなと思います。
無限にワードプレスのプラグインということ自体もですね、
実は脆弱性といってセキュリティの穴になってしまう場合もあります。
それは何かというと、
長い間更新をされていないワードプレスのプラグインとかを入れているとですね、
そこがセキュリティホールと言うんですけれども、
穴、セキュリティが弱い部分になってしまって、
そこから付け込まれてしまってみたいなところもあったりするので、
プラグインを最新に保つとかね、
ワードプレスを最新バージョンに上げていくということも
すごく大切なセキュリティ対策になってくるので、
ワードプレスを運用する方は、
ログイン画面とか多要素認証とか、
認証の部分のセキュリティもやるんだけれども、
定常的にですね、ワードプレスのバージョンアップだったりとか、
プラグインのバージョンアップというところも
必ずやっておいてほしいかなと思います。
今日はすごい専門的な話も多かったんですけれども、
すごく大事なお話かなと思います。
私もブログをいくつか運用していたりもするので、
そういうところも合わせて知っていただけたら
皆さんのためになるかなと思いました。
これからも一緒にブログ運営を頑張っていきましょう。
また次回の出力でお会いしましょう。バイバイ。