[PR]当サイトはアフィリエイト広告を利用しています。
はじめに
今回はラズパイのローカルWordPressのセキュリティの話。
ローカルWordPressは活躍しています。
しかし記事を積み重ねていくにつれ、あまり知り合いなどに公開したくないような記事も増えつつあります。
現状知り合いが家にやってきてそれらの記事が閲覧されてしまうという穴は次の通りです。
1. WordPressにパスワードがかけられていないので、IPアドレスがわかると家のWi-Fiを使われたとき誰でも閲覧できてしまう。
2. ラズパイが部屋に無造作に置かれているので、ラズパイをモニターにつないで近くに置いてあるマウスとキーボードをつなげると、ラズパイの中が覗かれてしまう。
1についてはわかりやすいのですが、2の問題も重要です。
ラズパイのログインにパスワードを要求するように設定されていない、かつ画面がブランクになってもパスワード要求がないのでマウスを少し動かすだけでラズパイの中が覗かれてしまう。
覗かれるともう情報がダダ洩れで、IPアドレスも洩れるし、ブラウザから直接WordPressの閲覧も可能。
考えたくはないがウィルスを仕込まれるというのも防げません。
部屋に知り合いが訪れただけでセキュリティが崩壊します。
そこで次のような課題に取り組みました。
1. WordPress全体にパスワードをかける
2. ラズパイの自動ログインを無効にして、起動したらログインパスワードを求めるようにする
3. 画面がブランクしてからブランク解除をするときにパスワードを求めるようにする
それでは一つ一つ解説します。
WordPress全体にパスワードをかける
次のサイトを参照ください。
「WordPressサイト全体、記事ページをパスワードで保護する方法」
———-
ninoya Inc, New Standard, 2021-03-08, (参照2022-01-12)
———-
手順としてはPassword Protectedというプラグインで設定します。
WordPressデフォルトの機能では記事別にパスワードをかけられるのですが、記事タイトルは閲覧できてしまうんですよね。
記事タイトルも見せたくないんです。だからWordPress全体にパスワードをかけます。
ラズパイの自動ログインを無効にして、起動したらログインパスワード
次のサイトを参照してください。
———–
Raspberry Pi Foundation, ラズベリーパイを使う, (参照2022-01-12)
———–
要するに
・左上のラズパイマークをクリック
・設定をクリック
・Raspberry Piの設定をクリック
・「システム」タブの「自動ログイン」を「現在のユーザーとしてログインする」ではなく、「無効」に設定
このように設定します。
画面がブランクしてからブランク解除をするときにパスワードを求めるようにする
次のコードをコンソールに打ち込みます。
sudo apt-get install xscreensaver
そして一回ラズパイを再起動します。
これはラズパイにデフォルトでスクリーンセーバーのプログラムが入っていないからそれをインストールしています。
これをインストールすることでスクリーンセーバーの設定ができ、そこからブランク時の挙動などを設定できるようになります。
設定手順は
・左上のラズパイマークをクリック
・設定をクリック
・スクリーンセーバーをクリック
・表示モードタブでモードを「ブランク・スクリーンのみ」に設定
・「ブランクになるまで」を10分、「セーバーの周期」を10分、「画面をロックするまで」のチェックを入れて0分と設定
・「拡張オプション」タブの「モニタのパワーマネージメント」の「電源管理を有効にする」にチェックが付いていたらはずす
以上で終了です。
電源管理が動いていると、つけっぱなしサーバーにならないので今回は電源管理は有効にしません。
注意
WordPress全体にパスワードをかけるところで使ったプラグインは、一度パスワードをブラウザの自動ログインなどで突破すると、WordPressからログアウトしてもWordPressにアクセスできてしまう場合があります。
パソコンやスマホ自体にパスワードを設定して、それらのデバイスを使うときはパスワードが必要になるようにしておいたほうがよさそうです。
またパスワードを設定するときは忘れないように気をつけましょう。忘れるとデータにアクセスできなくなって非常に都合が悪いです。
まとめ
今回はラズパイに色々とパスワードを設定してセキュリティレベルを上げました。
絶対に突破されないかは微妙ですが、やらないよりはましになりました。