(Photo by:Erik (HASH) Hersman)
WordPressは世界中で使われているCMSなので、その分ハッキングなどの被害に合う危険性も少なくはありません。不正アクセスやウェブサイトの改ざんなど、ニュースで見かけることも珍しくはありませんよね。
本記事では、WordPressのセキュリティ対策をするための方法についてまとめました。ちょっとしたことでセキュリティの向上はできるので、WordPressサイトを運用している方を中心に参考にしていただければと思います。
WordPressサイトのセキュリティを向上させる9個の方法
WordPressを対象に、セキュリティを向上することのできる対策を9つご紹介します。基本的な内容が多いのですが、だからこそ欠かさず行っておきたいもの。まだ実施していない場合はぜひ行っておきましょう。
ユーザーIDとパスワードを予想しにくいものにする
WordPressのユーザーIDやパスワードは、わかりづらい(予想しにくい)文字列にするようにしましょう。ブルートフォース攻撃など、不正ログインをきっかけにさまざまなセキュリティ被害に合う可能性があります。英数字を織り交ぜて、できるだけ複雑な文字列にしてください。
WordPressログインにキャプチャを追加する
WordPressにログインするには、IDとパスワードの入力が必要です。この2つに、さらにキャプチャを追加するとセキュリティレベルを上げることが可能です。というのも、ブルートフォース攻撃などのハッキング手法では、無作為にIDとパスワードを入力することで攻撃してきます。キャプチャを追加することで、こういった攻撃への防御になるのです。
WordPressのログインにキャプチャを追加するには、「SiteGuard WP Plugin」や「SI CAPTCHA Anti-Spam」などのプラグインですぐに導入できます。
WordPressのログインに二段階認証を追加する
キャプチャと同様、ログイン画面の強化をするための方法です。二段階認証を導入することで、不正なログインを防ぐことができます。プラグインとしては「Google Authenticator」が有名ですね。ログイン時の手間は増えるのですが、それだけの価値はあります。
WordPress管理画面のURLを変える
ログイン画面のURLは、デフォルトでは「http://www.○○○.com/wp-login.php」です。URLの末尾に「wp-login.php」を付け加えれば誰でもアクセスできてしまうので、できればこのURLも変更しておいた方がいいでしょう。
方法としてはいくつかあるのですが、プラグインを使う方法が最も簡単でいいでしょう。「SiteGuard WP Plugin」や「All In One WP Security & Firewall」など、メジャーなプラグインには管理画面のURLを変更する機能が備わっています。
WordPress管理画面のアクセス制限をする
管理画面にアクセス制限をかけておくこともおすすめです。無関係なユーザーにアクセスされる心配も減らすことができます。ベーシック認証(基本認証)を使ったり、IPアドレス制限をしてもいいでしょう。「.htaccess」ファイルを使うか、プラグインを利用します。いずれにしても、簡単に採り入れることができるでしょう。
headタグ内からWordPressのバージョン情報を削除する
WordPressのheadタグには、デフォルトではバージョン情報が表示されるようになっています。headタグに下記のような表示があれば、バージョン情報が表示されるようになっていることになります。
<meta name="generator" content="WordPress 4.X.X" />
セキュリティの観点からも、バージョン情報は非表示にしておくといいでしょう。バージョン情報は、functions.phpに下記のコードを追加するだけで非表示にすることができます。
remove_action('wp_head', 'wp_generator');
なお、WordPressのバージョン情報はreadme.htmlにも表示されます。
readme.htmlは特に必要のないファイルですし、念には念を入れて削除しておくといいでしょう。ファイルの場所ですが、WordPressのトップのディレクトリにあります。
wp-config.phpへのアクセス権を変更する
wp-config.phpとは、データベース情報などの設定情報が書かれているファイルです。WordPressを使っているなら必ず使うファイルの一つで、2013年に起きたロリポップサーバーの大規模ハッキングはこのファイルのアクセス権が甘いことが原因でした。wp-config.phpのアクセス権は管理者ユーザーだけが閲覧可能な、「400」などにしておくとよいでしょう。
データベースのプレフィックスを変更する
WordPressではデータベースとしてMySQLを使いますが、このテーブルにはデフォルトで「wp_」というプレフィックスがつきます。SQLインジェクションなどの攻撃に備えて、このプレフィックスを変更しておくことも有効です。WordPressのインストール時に変更するか、「Acunetix WP Security」などのプラグインを使うことでも変更ができます。
WordPressを最新の状態に保つ
WordPressは常に最新の状態に保つようにしましょう。WordPressのアップデートにはセキュリティを強化する機能が含まれていることも多いです。古いバージョンを使っていることはハッキングなどの被害に合う可能性を高めてしまうことにもなります。忘れずにアップデートしておくようにしましょう。もちろん、テーマやプラグインのアップデートも忘れずに。
あとがき
WordPressサイトを運営しているのであれば、セキュリティ被害は人ごとではありません。誰にでも起こりうることだと考えて、しっかりとセキュリティ対策をしておくことが大切です。ご紹介した内容はどれも簡単にできる内容ですが、組み合わせることで大きな防御になります。ぜひ取り組んでいきましょう。
本ブログは、Git / Subversion のクラウド型ホスティングサービス「tracpath(トラックパス)」を提供している株式会社オープングルーヴが運営しています。
開発の効率化をしたい!もっと便利なツールを使いたい!そんなお悩みをtracpathで解決!
「tracpath(トラックパス)」は、企業内の情報システム部門や、ソフトウェア開発・アプリケーション開発チームに対して、開発の効率化を支援し、品質向上を実現します。
さらに、システム運用の効率化・自動化支援サービスも提供しています。
”つくる情熱を支えるサービス”を提供し、まるで専属のインフラエンジニアのように、あなたのチームを支えていきます。
No Comments