ポイントインカム 

紹介キャンペーンで最大2,200円分もらえます

【WordPress運営者向け】しくじり管理人から学ぶ、プラグイン・セキュリティ編

WordPressプラグインしくじり編サムネイル

こんにちは、しくじり管理人Hukuです。
この記事ではWordPress運営者向けの記事(かつ備忘録)を珍しくまとめてみました。

というのもこの管理人(私)、
サイト運営とかWordPressのプラグインの設定とか、全然詳しくない奴が書いたので

正直、つまらない記事だぜ!

それでも良ければ、続きを読んでくださいまし<(_ _)>

ある日を境に、404エラーが大量発生する事件が起きた

管理人のしくじり

ある日、WEBサイトの運営者なら登録しておきたいGoogleのSearchConsole(サーチコンソール:旧ウェブマスターツール)にアクセスするとクロールエラーが大量に出てしまいました。

見つかりませんでした
1.https://okodukai-guide.com/設定した覚えのない羅列/~
2.https://okodukai-guide.com/設定した覚えのない羅列/~
3.https://okodukai-guide.com/設定した覚えのない羅列/~
4.https://okodukai-guide.com/設定した覚えのない羅列/~
以下、続く

という感じに、見覚えのないURLに対しての404エラーがうじゃうじゃと。

驚く

なんじゃこりゃ!!!

その数、なんと100以上!

さすがに焦って、原因を探ってみたところ、2つの仮説にたどり着きました。

仮説①このサイトの常時SSL化をしたのがきっかけ

実は2017年1月に、当サイトを常時SSL化したんですよね。

常時SSL化にするとサイト全体を暗号化して送受信してくれるため、セキュリティが向上しサイトの信頼性があがります。簡単にいうと「http://」→「https://」に変更することですね。

お小遣いガイドssl化

SSL化することでURLが変わったから、意味不明な404エラー(存在しないページ)がサーチコンソールに出てきてしまったと思われます。

しかし「.htaccess」でリダイレクト(そのページから別のページへ転送)させているため、普通なら問題は起きないはずなんです。

悩む

おかしいな・・・真犯人は他にもいるはずだ。

仮説②過去に入れていたプラグインが原因?

WordPressで運営している方ならいくつかプラグインを使っていると思いますが、私の場合、「とりあえず使ってみて、よかったら使い続けよう」というスタンスで運営していました。

そんな運営方針だから、失敗したことも多々ありました。
過去にはプラグインの影響で、記事中の画像が大量に表示されなくなってしまったことも・・・。

今回404エラーが大量に出たのも、とあるプラグインのせいだと思うんですよね。
というのも、「設定した覚えのない羅列」=「そのプラグインの会社名?登録名?」でしたから。

非常に便利なプラグインだったんですが、海外製のプラグインで英語表記ということもあり、日本では使用している人をほとんど見かけないものでした。評価数も少ないので、全体的に利用している人も少ないと思われます。

プラグインの評判や評価とか一切無視で、便利だからという理由で採用していたんです。そして1年ほど使い続け、AMP導入時をきっかけで、そのプラグインを使うことをやめたんです。

その後SSL化した時に、そのプラグインの問題点が表面化して出てきたわけですね。

まぁ毎日エラーが沸いて出てくること。自分の知らないところで、勝手にURLの後に不明な羅列を追加されてしまっていたのです。そのプラグインの特性上仕方がないのかもしれませんが、このような結果になることを知っていたら、利用していなかったと思います。

【教訓】評判を調べずに、闇雲にプラグインは入れるな!

便利だからといって疑い知らずでインストールしまくっていたら、
あなたも私↓↓のようになるかもしれませんよ。

驚く

その後、アクセス数が徐々に落ちていった

大量の404エラーが発生してから、意味不明なエラーのURLを削除依頼をするという対処をとってみました。しかし、消しても消しても、2、3日経つと湧き出てきます。それでも、いたちごっこのようにエラーしているURLの削除依頼を出しました。この方法が正解かどうかも分かりませんが、不気味なので消し続ける日々を1ヶ月続けました。

その間、このサイトのアクセス数がじわりじわりと減少していくという状況に陥ってしまったのです。

サイト運営者にとって「アクセス数」というのは、めちゃめちゃ気にすることでして、アクセスが上がった日はウキウキ、逆に下がるとメンタルがやられます。

エラー削除の日々だけじゃなく、
アクセス数の減少で私の心はズタボロになりました(泣)

おそらくアクセスが減少した原因は「ポイントサイトの記事の需要時期は年末がピークで、1月以降は下がる傾向にある」と、今回の件と全く関係のない所で起こっていると推測できます。(←サーチコンソールのデータ分析から読み取れます。要望があれば記事にするかもしれません。)

しかし、もしかしたらエラー削除を大量にやり過ぎたのがさらに加わっているのかもしれません。

これらの格闘に時間を費やし、とにかく疲れました。でもすべての根源は、便利に頼り過ぎた私にあるのです。

その後「robots.txt」に追加することで、エラ-祭りは収束に向かっていったのですが、
SSL化しても、プラグイン次第ではセキュリティに穴が出来てしまうんだなということを学びました。

【教訓】SSL化しても、プラグイン次第でセキュリティに穴が出来る!

ユーザー名(ログインID)が丸見え事件

管理人のしくじり

それからは、セキュリティ関係の記事に興味を持ち始め、今までスルーしていた記事も読み漁りました。そしてとある記事を見つけて、なんとも興味深いことがかかれていたんですよね。

なんと、WordPressのユーザー名(ログインID)は
対策をとっていない場合、簡単に分かってしまうというものでした。

例えば、アドレスバーに以下のように入力してみてください。

http://ドメイン/?author=1

すると、ユーザー名が表示されていませんか?
あとはパスワードさえ分かれば、第三者にログインされてしまう可能性もあるんです。

WordPressのログインID丸見え

デフォルト状態だと最後の砦はパスワードだけ!ログインIDが丸見えなのは、極めて危険な状態ですよ。

まさにこんな感じで、路上でオープンすると極めて危険でしょう。

WordPressのログインID丸見え

そこで「Edit Author Slug」というプラグインを使うことで、ログインIDを隠せるようになります。この記事の前半を読んだ方は「またプラグインインストールするんかい!」と総ツッコミがはいりそうですね(苦笑)

「Edit Author Slug」に関して危険性はないと思われますが、自己責任でインストール及び使用をお願いします。

「Edit Author Slug」をインストール・設定をしてみる

インストール方法は管理画面メニューの「プラグイン」→「新規追加」「Edit Author Slug」と検索→インストールして有効化してください。

次に管理画面メニューの「ユーザー」→「あなたのプロフィール」から「Edit Author Slug」の設定をしていきます。

ページ(プロフィール設定画面)の下の方に「Author Slug」という項目があります。「Custom:」にチェックをつけ、その横に好きな文字を記入した後、「プロフィールを更新」をクリックしましょう。

Edit Author Slug設定

上の画像では例として、娘の大ブーム中の「unchi(うんち)」を入れてみました。(実際は別の文字を入れています。)
なぜか小さい子ってうんちが大好きですよね。「将来うんちと結婚する」と言っている娘に、微笑ましいと思うHukuです(笑)

話を戻します。
では本当に変更されたかどうか確認します。再度ドメインの後に「/?author=1」を入力してみてください。すると、ユーザー名が変更されているのが分かると思います。

WordPressユーザー名変更前
WordPressユーザー名変更後

この方法でユーザー名を隠してみてください。
これで丸裸状態だったあなたのWordPressに、洋服を着せることができましたね!

【教訓】プラグインでセキュリティを向上させることも必要だ!

まとめ

  • 評判を調べずに、闇雲にプラグインは入れるな!
  • SSL化しても、プラグイン次第でセキュリティに穴が出来る!
  • プラグインでセキュリティを向上させることも必要だ!

以上、私の経験から失敗したことや学んだことをまとめてみました。
失敗談はまだたくさんあるのですが、疲れたので今日はこの辺で!
この記事に反響があったら続編を書こうかな(笑)

プラグインはあなたのサイトを危険にさらすことも、強固にすることもできるのです。プラグインをインストールする前は、事前に調査を行ってから、メリットが上回るようなら利用してみてくださいね。

↓シェアお願いします!

↓フォローお願いします!