【要注意?!】WordPressセキュリティに関する5つの対策

Pocket

WordPressセキュリティに関する5つの対策

WordPressは、オープンソースのCMSであり、世界中のユーザーが利用しています。
W3Techsの公開データでは、2016年9月時点で、全世界のウェブサイトの26.6%がWordPressで作られていると判明しました。
全世界で普及しているWordPressですが、この普及率の高さとメリットであるはずのオープンソースといった仕様により、これまでに多くのセキュリティ面での脆弱性が発見されています。
レンタルサーバーにWordPressを導入する上で最低限やっておきたいセキュリティ対策を5つご紹介します。

WordPress本体のバージョンやプラグインは最新版に更新する

WordPressでは、脆弱性が発見された場合、その都度最新バージョンアップをして対策を行っています。
よって、最新バージョンは、脆弱性がない状態となり、以前のバージョンになればなるほど脆弱性は多くなり、セキュリティリスクが増していきます。
最新バージョンが提供された場合、ダッシュボードの左上に「通知」が表示されますので、通知が表示されたら、必ず最新バージョンへアップデートしましょう。
常に最新バージョンにしておくことで、脆弱性の対策が行われるので、古いバージョンを使用していることと比べると、格段にリスクを減らすことができます。
また、プラグインについても同様に最新バージョンにしておきましょう。

WordPressのバージョン情報について

WordPressのセキュリティ関連の記事で「バージョン情報」を隠すことは、有用なセキュリティ対策になるといった記事を拝見します。
デフォルトの状態では、HTMLソース上には、バージョン情報が記載されています。

上記のようにHTMLソース上のメタタグ内にバージョン情報が記載されており、この部分を撤去することにより、セキュリティ向上に繋がるといった内容ですが、この部分を撤去するだけでは、あまり意味がありません。
WordPressのバージョン情報は、jsファイル、cssファイルそしてRSSフィードからも確認することができます。
他にもバージョン情報を調べる方法は幾つくかあるでしょう。
よって、ソース上のバージョン情報の記載箇所を気にするのではなく、バージョンを最新情報にしておくことが重要なポイントとなります。

ブルートフォースアタック(総当り攻撃)への対策

ブルートフォースアタック(総当たり攻撃)とは、IDやパスワードなどの割り出したい秘密の情報について、考えられるすべてのパターンをリストアップし、片っ端から検証するハッキング手法です。

「admin」ユーザーを削除する

WordPressでは、デフォルトのログインIDが「admin」となっていますが、この状態では、パスワードを解析された場合、第三者が安易に管理画面にアクセスできる可能性がありますので、必ず削除しておきましょう。

パスワードを無意味な文字列にする

パスワードについては、英数字を混合させた8文字以上の文字列に設定しておきましょう。
8文字未満だとハッキングされるリスクが高まります。
パスワードを設定する際の文字列は、氏名、生年月日、携帯電話番号など個人情報に関連する文字列や英単語といった第三者が容易に予想しやすい文字列ではなく、複数の文字種をランダムに散りばめた無意味な文字列に設定しましょう。

ログインページと管理画面をBASIC認証で2段階ログインとする

ブルートフォースアタックは、ログインページへのアクセスしなければなりません。
ログインページへのBASIC認証を設定して、2段階ログインとすれば、より安全性が高まります。
ベーシック認証のパスワードも解読しにくい文字列にしましょう。
ログインページへのBASIC認証の設定は、以下のサイトに詳しく掲載されています。

WordPressユーザーであればブログが乗っ取られた!なんて話、一度は耳にするのではないでしょうか。。。あれ、もしかしてそんなの「他人事」だなんて思ってませんか?

WordPress公式で登録されているテーマやプラグインを利用する

WordPress公式で登録されているテーマやプラグインを利用しましょう。
断言できませんが、Wordpress公式のテーマやプラグインの方が、脆弱性やバグが少ない傾向があります。
また、公式で登録されているものであれば、脆弱性やバグが発見された際には、すぐにバージョンアップが行われ対策がされます。
公式で登録されていないプラグインやテーマだと、全くバージョンアップがされていなかったり、脆弱性があるにも関わらず、放置されているといった事もありますので、極力使用は避けたほうが良いでしょう。
また、インストールされているプラグインの中で、使用していないプラグインは、「停止」ではなく「削除」しておきましょう。
プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。

「wp-config.php」への外部アクセスを遮断する

「wp-config.php」は、WordPressを利用する上で、セキュリティレベルを最も高く設定しなければならないファイルとなります。
その理由は、データベース上のアカウント情報が記載されており、このファイルが不正アクセスにより、ハッカーから閲覧されてしまうと、データベースの改ざんの恐れがあります。
セキュリティ対策として「wp-config.php」は、外部からのアクセスを遮断し、パーミッションレベルも厳しく設定する必要があります。

  1. 「wp-config.php」と同じ階層にある「.htaccess」ファイルを開きます。
  2. 「.htaccess」ファイルに以下の内容を記載します。

  3. 最後に「wp-config.php」のパーミッションを「400」に設定します。

まとめ

必要最低限の内容になりますが、WordPressのセキュリティ対策をご紹介しました。
WordPress本体の未知の脆弱性、プラグインの脆弱性など、これからも様々な脆弱性が新たに発見されていくかと思います。
ただし、セキュリティ対策において「絶対」はありませんし、いかにリスクをコントロールするかが課題となります。
WordPressをインストールすれば、ブログやCMSとして使用するといった目的は達成できますが、安全に運営するには、セキュリティ対策も必要です。
当記事が皆さまのサイト運用の一助になれば幸いです。

Pocket