プラカンブログSTAFF BLOG

2017.10.16

WordPressのセキュリティ対策9選

こんにちは。関です。
今回はWordPressのセキュリティ対策について書いてみたいと思います。

WordPressは無料で使えるオープンソースですが、
オープンソースであるがゆえに、
どこになんのソースコードがあるか分かってしまうため、
攻撃されやすい場所が特定されやすいのが難点です。

そこで、WordPressのセキュリティ対策を紹介します。

WordPressのバージョンを最新版にしておく

WordPressは脆弱性が見つかると、セキュリティ対策としてバージョンアップします。
古いバージョンにしていると脆弱性に対して攻撃されやすいので、最新バージョンにしましょう。

パスワードを乱数にする

パスワードを「admin」や「password」など、簡単なパスワードにしていませんか?
簡単なパスワードにしていると、管理画面を不正にログインされてしまうので、
推測されにくい乱数にしましょう。

使用していないプラグインは削除する

WordPressの本体だけでなく、プラグインも危険な場合が多いです。

たくさんのプラグインをインストールしたままにしていませんか?

プラグインの脆弱性が攻撃の対象になるかもしれませんので、
使用していないプラグインは削除しましょう。

ユーザー名を特定されないようにする

ユーザー機能を使っていない場合は、不正にログインされないように、
ユーザー名を特定されないようにしましょう。

WordPressでは、「 http://サイトURL/?author=1 」とURLに打つと、
ユーザーページにリダイレクトし、ユーザー名がURLに表示されてしまいます。

対策には以下コードをauthor.phpに追記します。

<?php 
    wp_redirect(home_url());
    exit();

正しいパーミッションにする

パーミッションの設定を「777 (rwxrwxrwx)」や「666 (rw-rw-rw-)」などにしている場合は、誰でも書き込める状態のため、改ざんが可能です。

ファイルを不正に書き換えられないように、
以下のようにパーミッションを変更します。

HTML・画像ファイル 604 rw—-r–
.htaccessファイル 604 rw—-r–
.wp-config.php 400 r——–
ディレクトリ 705 rwx—r-x

管理画面にIP制限をかける

管理画面にIPアドレスによる制限をかけて、不正ログインを防ぎましょう。
「wp-login.php」にIP制限をかけるには、
以下のコードを.htaccessに書きます。

<Files wp-login.php>
order deny,allow
deny from all
allow from 127.0.0.1

allow fromのIPアドレスはあなたのIPアドレスを入れます。

IPアドレスが固定で無い場合

IPアドレスが固定で無い場合は、日本国内のみに制限しましょう。
以下URLに国内のIPアドレスがまとめてあります。
http://www.cgis.biz/tools/access/

インストールするディレクトリを変える

アクセスログを見ると、
「wordpress」、「blog」、「news」、「wp」、「backup」などには不自然なアスセスがあるので、
このディレクトリにWordPressをインストールするのは危険です。
推測されにくいディレクトリにインストールしましょう。

データベーステーブルのプレフィックスを、「wp_」から変更する

WordPressのデーターベースにはデフォルトで頭に
「wp_」といプレフィックスが付いています。

ただデフォルトのままだとデーターベースのテーブル名が特定されてしまうので、
特定されにくいようにプレフィックスを変更しましょう。

バックアップをとっておく

万が一、ハッキングされた場合に対処できるようにこまめにバックアップを取っておきましょう。

以上が、WordPressのセキュリティ対策でした。
みなさまも試してみてください。

seki

この記事は、SEKI が書きました。