WordPressのセキュリティについて

この記事のURLとタイトルをコピーする

この記事を読むのに必要な時間は約 8 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)

くまはちLABがWordPressのセキュリティについてうるさい理由

WordPress(ワード プレス)はオープンソースのCMSであることから世界中で使われていると同時に、数多く使われているため不正アクセスを受けやすいと言われています。
そのためWordPressを利用している方は、

  • 他のシステムに乗り換えた方が良いの?
  • 乗り換えるのは大変だからWordpress使いたいけどセキュリティ面が不安
  • WordPressのセキュリティ対策方法を知りたい!

と思っていませんか?セキュリティ面であまり良い噂を聞かないWordPressも、しっかりと対策をしておけば大丈夫!
当記事では、WordPressサイトを安全に運営するために、絶対にやっておきたいセキュリティ対策についてまとめてみました。できるところから始めてみましょう。
 

wp-config.phpのパーミッション変更と外部からのアクセス禁止

wp-config
WordPressをインストール時にこの画面で設定するデータが格納されるファイルそれがwp-config.phpです。
これが、外部からアクセスできるとデータベースのIDやパスワードなどが流出する可能性もあり危険なのです。
インストールが完了したらパーミッション(属性)を変更します。

パーミッション(属性)666
wp-config.phpは、初期設定ではインストール時に書き込みを行うので666に設定されています。
この666→400に変更します。
この変更には、FFFTPでの変更を推奨しています。
→ FTPの使い方
→ FTPにマイサーバーを設定する

.htaccessファイルへ以下の記述を追加します。

<Files wpconfig.php>
order allow,deny
deny from all
</Files>
これによりさらにセキュリティアップします。

 

IDが丸見えにならないように設定する

まず、IDにはadminを使わないこと

adminというユーザー名はWordPressをインストールした時にデフォルトで設定されているユーザー名です。攻撃者はこのadminというユーザー名に対してブルートフォースアタック(パスワード総当たり攻撃)を仕掛けることが多いです。不正アクセスされる可能性を減らすという意味で、adminというユーザー名は使わないようにしましょう。
その他、root userなど容易に推測できるものも避けた方が無難です。
まずは、投稿で「Hello world!」を削除します。
次にユーザー→あなたのプロフィールでID表示をニックネームを登録してニックネーム表示に変更します。
テーマファイルで投稿者名を表示させないように設定
テーマによっては、カスタマイザーで設定できるものもあります。(Lightning Simlicity2 など)
場合によっては、CSSを追加して変更するもしくは、子テーマを入れて表示させない設定が必要です。
次にオーナーページへのアクセスを404.phpへする設定を子テーマでやっておきます。
WordPressで使用しているユーザー名は実は特定のURLにアクセスすることで簡単に推測できてしまいます。
http://WordPressサイトのアドレス/?author=1
最後の1は、2~という形式でユーザー数までわかってしまいますね。
そういう意味では、ユーザー数も最小限にする必要があります。
下記を子テーマのfunctions.php追加します。
/*————————————————*/
/* 投稿者アーカイブにアクセスカスタマイズ
/*————————————————*/
add_filter( ‘author_rewrite_rules’, ‘__return_empty_array’ );
function disable_author_archive() {
if( $_GET[‘author’] || preg_match(‘#/author/.+#’, $_SERVER[‘REQUEST_URI’]) ){
wp_redirect( home_url( ‘/404.php’ ) );
exit;
}
}
add_action(‘init’, ‘disable_author_archive’);
これによりオーナーIDがページとして表示されず404ページ(ページがありません)という表示になります。

 

アップデートをコマめにしておく!

WordPress本体の脆弱性対策のために、WordPress本体やテーマ・プラグインの新しいバージョンが公開されたときはすぐにアップデートしましょう。WordPressのバージョンアップには「メジャーアップデート」「マイナーアップデート」の2種類があります。

アップデート

Akismetを有効化しておく

プラグイン
このプラグインは、わざわざインストールする必要ありません。
WordPressインストール時に最初からインストールされているプラグインになります。
コメントやContact Form 7などと連携できるので赤枠内の有効化をクリックして有効化します。

 
Akismet設定
赤枠のボタンをクリックしてAkismetのアカウント設定をします。
外部サイトに接続し、英語のページが出てきたりしますが、決しておかしなページではありません。
 
APIキー取得
無料で利用可能ですが、APIキーを取得する必要があります。
赤枠のボタンをクリックします。
 
Akismet
ここから外部ページの英語サイトになります。
赤枠のボタンをクリックします。
 
Activate
さっき無料と書きましたが・・・・
見ると4500円/年と表示されていますが・・・
ご安心を・・・
これは、できれば寄付してください。と言う意味で・・・
できないのでこの金額をスライダーで左へ移動させます。
ドラッグアンドドロップで左へスライドさせます。
 
Activate
すると上の画像のように左側が上の画像のように変更されます。
名前と使用するサイトアドレスを入力します。
 
Activate
赤枠のボタンをクリックします。
 
Activate
赤枠の「Activate this site」をクリックして有効化します。
 
設定完了
上記と同じようにして「変更を保存」をクリックします。
これでプラグインが有効化されました。
コメントなどでスパムが少し減るかもです。
 


 

WEBのことならくまはちLABにお任せください。

サービス 制作事例
お問い合わせ
くじらモバイル登録
LINE@友だち追加

くまはちLABのご利用ありがとうございます!
くまはちLABの最新情報をフォローしてゲットしてください!