WordPressのセキュリティについて

この記事を読むのに必要な時間は約 8 分です。

くまはちLABがWordPressのセキュリティについてうるさい理由 WordPress（ワードプレス）はオープンソースのCMSであることから世界中で使われていると同時に、数多く使われているため不正アクセスを受けやすいと言われています。そのためWordPressを利用している方は、

他のシステムに乗り換えた方が良いの？
乗り換えるのは大変だからWordpress使いたいけどセキュリティ面が不安
WordPressのセキュリティ対策方法を知りたい！

と思っていませんか？セキュリティ面であまり良い噂を聞かないWordPressも、しっかりと対策をしておけば大丈夫！当記事では、WordPressサイトを安全に運営するために、絶対にやっておきたいセキュリティ対策についてまとめてみました。できるところから始めてみましょう。

wp-config.phpのパーミッション変更と外部からのアクセス禁止

WordPressをインストール時にこの画面で設定するデータが格納されるファイルそれがwp-config.phpです。これが、外部からアクセスできるとデータベースのIDやパスワードなどが流出する可能性もあり危険なのです。インストールが完了したらパーミッション（属性）を変更します。 [wc_row] [wc_column size=”one-half” position=”first”]

[/wc_column] [wc_column size=”one-half” position=”last”] wp-config.phpは、初期設定ではインストール時に書き込みを行うので６６６に設定されています。この６６６→４００に変更します。この変更には、FFFTPでの変更を推奨しています。 →　FTPの使い方 →　FTPにマイサーバーを設定する [/wc_column] [/wc_row] .htaccessファイルへ以下の記述を追加します。

order allow,deny

deny from all

</Files>

これによりさらにセキュリティアップします。

IDが丸見えにならないように設定する

まず、IDにはadminを使わないこと

adminというユーザー名はWordPressをインストールした時にデフォルトで設定されているユーザー名です。攻撃者はこのadminというユーザー名に対してブルートフォースアタック（パスワード総当たり攻撃）を仕掛けることが多いです。不正アクセスされる可能性を減らすという意味で、adminというユーザー名は使わないようにしましょう。

その他、root userなど容易に推測できるものも避けた方が無難です。

まずは、投稿で「Hello world!」を削除します。

次にユーザー→あなたのプロフィールでID表示をニックネームを登録してニックネーム表示に変更します。

テーマファイルで投稿者名を表示させないように設定

テーマによっては、カスタマイザーで設定できるものもあります。（Lightning Simlicity2 など）

場合によっては、CSSを追加して変更するもしくは、子テーマを入れて表示させない設定が必要です。

次にオーナーページへのアクセスを404.phpへする設定を子テーマでやっておきます。

WordPressで使用しているユーザー名は実は特定のURLにアクセスすることで簡単に推測できてしまいます。

http://WordPressサイトのアドレス/?author=1

最後の１は、２～という形式でユーザー数までわかってしまいますね。

そういう意味では、ユーザー数も最小限にする必要があります。

下記を子テーマのfunctions.php追加します。

/*————————————————*/ /* 投稿者アーカイブにアクセスカスタマイズ /*————————————————*/ add_filter( ‘author_rewrite_rules’, ‘__return_empty_array’ ); function disable_author_archive() { if( $_GET[‘author’] || preg_match(‘#/author/.+#’, $_SERVER[‘REQUEST_URI’]) ){ wp_redirect( home_url( ‘/404.php’ ) ); exit; } } add_action(‘init’, ‘disable_author_archive’); これによりオーナーIDがページとして表示されず４０４ページ（ページがありません）という表示になります。