y.o.designers-works

WordPressのセキュリティ対策でしておくべき8つの項目

WordPressはCMSで最も有名なのでクラッカーの標的になりやすい特徴があります。 その為、WordPressを利用している運営者はセキュリティ対策を必ずしておかなければならないです。
セキュリティプラグインを使うのも良いですが、まず基本的な事から対策をしましょう。

1:デフォルトユーザーの「admin」は削除しておく

WordPressをインストールして、デフォルトのままだと「admin」というユーザーアカウントが存在します。
この「admin」アカウントを、残しておくと非常に危険です。
なぜなら、クラッカーから「ブルートフォースアタック」を受けた場合、「パスワードのみ特定すれば良い」ので、不正ログインのハードルがかなり下がります。

総当たり攻撃 【 brute force attack 】 ブルートフォースアタック

総当たり攻撃とは、暗号の解読やパスワードの割り出しなどに用いられる手法の一つで、割り出したい秘密の情報について、考えられるすべてのパターンをリストアップし、片っ端から検証する方式。英名の”brute force”の原義は「力づく」。

2:管理画面へのログインパスワードを複雑なものに

長くて複雑なパスワードを設定することは、WordPressにかぎらない、インターネットのセキュリティの基本中の基本です。
パスワードは文字数が増えるほど、使われている文字の種類が増えるほど(例:数字のみ→数字+アルファベット)、強度は高まります。


パスワードの強度は、実際にWordPressの管理画面でパスワードを入力して判定しましょう。
【非常に弱い】【弱い】【普通】【強力】の4段階があります。

【強力】にしましょう!!

3:データベーステーブルのプレフィックスを変更する

WordPressをインストール後、デフォルトのままだと、全てのテーブルには「wp_」というプレフィックスが設定されています。
ですが、このままだと「テーブル名」が特定されてしまうので、データベースに対してのハッキングが容易になってしまいます(例えば、SQLインジェクションで、不正にテーブルが削除・変更されてしまう)

なので、「テーブル名」を特定されにくくするために、プレフィックスをオリジナルに設定する必要があります。

イントール時に変更しましょう!運営がはじまってからだと変更に手間がかかります!

4:テーマやプラグインは、公式のものを利用する

WordPress公式のものを使用しましょう。
一般的に、Wordpress公式のものの方が、脆弱性やバグが少ないです。また公式のものであれば、脆弱性やバグが発見された際、すぐにバージョンアップが行われ対策がされます。
ですが、公式でないプラグインやテーマだと、全くバージョンアップがされていなかったり、脆弱性があるにも関わらず、全く対策がされていない。といった事もあります。
また、Wordpress公式のテーマやプラグインは、FAQやサポートページが充実しており(現状、英語表記しかないが、、)設定手順や使用方法に困った時でも、参考情報が多いので、そういった意味でも公式のものを使っておく方が良いでしょう。

2ヶ月以上更新されてないのは危険です。

5:テーマ・プラグインは、最新版にしておく

WordPressは、オープンソースで最も有名なCMSです。なので、ハッカーのターゲットになりやすく、脆弱性も発見されやすいです。
脆弱性が発見された場合、Wordpressは、その都度バージョンアップをして対策をしています。最新バージョンは(既知の)脆弱性がなく、逆に古いバージョンは、古ければ古いほど、脆弱性は多くなります。
なので、「常に最新バージョンにしておきましょう!」と頻繁に言われるわけです。

更新するときはバックアップもとりましょう!

6:「wp-config.php」を、アクセス不可に設定する

「wp-config.php」というファイルは、Wordpressを利用する上で、最も重要で、最もセキュリティレベルを高く設定しなければいけないファイルです。

なぜなら、「wp-config.php」には、データベースのアカウント情報が記載されているからです。

このファイルが、ハッカーの手に渡ってしまったら、データベースが直に操作されてしまう危険性があります。

なので、大事なのが「外部からのアクセスを不可に設定し、パーミッションも厳しく設定する」事です。

.htaccessに記述するコード

  <files wp-config.php>
 order allow,deny
 deny from all
 </files>
  

※wordpressの心臓といえる部分です。

7:ファイルのパーミッション(権限)を適切なものに

パーミッションとはファイルへの読み書き権限設定のことで、この設定を適切にすることで外部からの不正なアクセスに備えることができます。
クラッカーからの攻撃を防ぐためにも、重要なファイルにはアクセスできないようにしましょう。

推奨されている設定

ファイルの種類 パーミッションの設定
.htaccess 「604」か「606」
wp-config.php 「400」
その他のファイル 「604」
その他のディレクトリ 「705」

※ wp-config.phpは「400」、.htaccessは「604」に設定しましょう!必須です!

8:バックアップをすべき3つのデータ

もしもハッキング被害に遭った時のために、バックアップをとっておく事は必須です。
バックアップすべきなのは、下記3つになります。

  • 1:WordPressのフォルダ・ファイル一式(FTP内のデータ)
  • 2:WordPressで利用しているデータベース(sqlファイル)
  • 3:WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」

まとめ

最初に述べたように、WordPressは最も有名なCMSです。
なので、クラッカーからの標的になりやすいのが特徴です。
その為、WordPressを利用している運営者は、必ず「セキュリティ対策」をしておかなければなりません。

スポンサーリンク

他にオススメな記事