ada

WordPressのセキュリティ対策に必須な10のポイント


WordPressはwindowsと同じように、いわゆるデファクトスタンダードになりつつあるため、ハッカー等から狙われやすくなっています。

 

近年の事例では、多くのWordpressをホスティングする某レンタルサーバーがアタックを受け、多くのサイトが被害にあったようです。

 

WordPressを使用するサイトへアタックされることは、身近なことになりつつあるため、Wordpressでチェックすべきセキュリティ項目をご紹介いたします。

NKJ56_commandmba500

WordPress本体やテーマ・プラグインは、最新版にアップデート

Windowsと同様にWordpressはデファクトスタンダードであるため、セキュリティに問題のあるWordpressの旧バージョンを使用しているとハッカーの標的になりやすくなります。

古いバージョンについては、研究もされているため、セキュリティホールが見つかりやすくなっています。

そのため、最新バージョンに常にアップデートすることが重要です。

一度、セキュリティホールがニュースになるとアタックは増えますので、常に最新バージョンにアップデートしていきましょう。

なお、バージョン情報を隠せば安全という都市伝説もありますが、様々な部分にバージョン情報は記載されているため、

隠すのは結構、困難になります。

 

wp-config.phpのアクセス設定を見直す

WordPressはMySQLを使用しており、Wordpressのデータベースへのアクセス情報等が記載される「wp-config.php」は、最も重要なファイルの一つです。

そのため、wp-config.phpと同じ階層にある.htaccessファイルに、下記を追記してください。

order allow,deny
deny from all

これで、アクセス制限がかかります。
また、ファイル自体のパーミッションは「400」にし、管理者のみ「読み取り」する権限にしましょう。

データベーステーブルのプレフィックスを修正する

デフォルト設定では、Wordpressのデータベースには、プレフィックスのwp_が付与され、
簡単にデータベースが特定されてしまします。このプレフィックスを変更することで、テーブルを特定することが困難になります。

パスワード総当たり攻撃への対策

パスワードを類推する方法は、ねらわれやすいセキュリティホールとなっています。
このセキュリティホールに対する主な対策は下記となります。

・デフォルトユーザー「admin」は使用せず、削除
・予防ですが、Crazy Bone等でアクセスログを取り、海外のサーバーから頻繁にアクセスがないか調べる
・Google Authenticator等を活用し、 画像認証を導入する

プラグインを利用して、スパムコメント対策

スパムコメントの誘導により、悪意のあるサイトにアクセスしてしまうことがあります。
そのため、有名なスパムコメント対策プラグインを活用し、閲覧するユーザーのセキュリティを高めましょう。

キャプチャ

https://wordpress.org/plugins/akismet/

「WAF(Webアプリケーションファイアウォール)」を活用

ロリポップなど低価格なサーバーでも最近では、WAFが導入されています。
WAFは、プログラムレベルでのファイアウオールで、
不正と見なされたアクセス要求を遮断するという仕組みです。
こちらはサーバー側の設定で確認しておきましょう。

管理画面とログイン画面をSSL通信に

SSL通信でなければ、パスワード等は実際、トラフィックを解析されると筒抜けになってしまします。
そのため、【「WordPress HTTPS(SSL)」プラグイン等でパスワード入力画面にSSLを設定しましょう。
SSLは、レンタルサーバーで用意されている場合もありますのでチェックしましょう。
admin

セキュリティ関連プラグインを導入

WordPressには、さまざまなセキュリティ関連のプラグインがあります。

iThemes Security

多くのセキュリティ機能が提供され、WordPressのセキュリティ状態を確認できます。

管理者が管理画面を利用しない時間には、管理画面をロックできる等、ユニークな機能もあります。

itheme

https://wordpress.org/plugins/better-wp-security/

Wordfence Security

簡単な設定でセキュリティを向上できるユーザビリティの高いプラグインです。

設定が簡単であるため、初心者向けのプラグインとなります。

IPブロック機能を利用して、拒否するIPを設定することができます。

wordpress security

https://wordpress.org/plugins/wordfence/

Acunetix WP Security

脆弱性のスキャンなどセキュリティ関連の機能だけでなく、データベースのバックアップ機能もありますので、

トータルな攻撃対策となります。また、ファイルのパーミッションなども簡単に変更できます。

autinx

https://wordpress.org/plugins/wp-security-scan/

 

テーマやプラグインは、Wordpress公式を優先

公式のテーマやプラグインは、なんといってもセキュリティ対策が一通りほどこされております。

公式でないプラグインの場合は、それ自身にセキュリティホールが多く存在します。

最悪の場合は、それ自体がトラップの場合がありますので、

できる限り、公式プラグインを活用しましょう。

使用しないプラグインを削除

デフォルトでインストールされているが、使っていない、使わなくなったプラグインは、「削除」しましょう。
「削除」しておかないと、プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。

まとめ

Windowsもそうですが、有名なものは攻撃対象になりやすくなります。

特に、WEBに公開されている分、Wordpressは常に脅威にさらされているため、

攻撃件数が増えています。

そのため、類推しやすいパスワードの見直し等、まずは基本的な対策をしっかり実施しましょう。

本サイトが運営するWebデザインのオンラインスクールが公開中!
以下のリンクからお申込みで、特別料金の70%OFF!

未経験からプロのWebデザイナーになる! 400レッスン以上の完全マスターコース
こちらのコースは全くの未経験の方が、プロのWebデザイナーとして働けるレベルになることを目的としたコースです。
・全422レッスン & 42時間! 通学スクール80万円相当の内容
・授業×チャレンジ課題で実践的なスキルが身につく!
・過去1100名以上のスクール卒業生を輩出した、 Webサービス運営企業・デザイナー輩出企業だからこそ作れるプログラム

Webやアプリの最新デザインツール Sketch3 |100レッスンの完全マスターコース
Sketch3未経験からプロレベルを目指す、充実したコースです。
Sketch3の単なる機能説明をするような、つまらないコースではなく、アイコン制作、ボタン作成、メインビジュアル制作、Webページの制作など、実際の制作をしながら実践力を身につけます。
1000名以上の卒業生がいる実績ある日本のWebデザインスクールが提供しています。


NESTonlineBlog編集部

NESTonlineBlog編集部です。ご寄稿頂いた記事などを公開していきます。

Next Article【完全保存版】漢字が使える日本語フリーフォント41選