ワードプレスの具体的なセキュリティ対策について

ワードプレスセキュリティ

世界で多くの人が利用しているワードプレス(以下、WP)。便利にブログ更新ができる反面、セキュリティに関しては、その構造上からセキュリティ面での不安が以前から聞かれます。

今回は、安全に利用できるように、WPセキュリティの注意点と、実際のセキュリティ対策も踏まえてご紹介します。

なぜWPがセキュリティ面で不安であるか

WPがオープンソース(誰でもソースの中身がわかる)構造であることが大きな要因として挙げられます。

そのため、 WPで構築されたサイトは改ざん被害など攻撃を受ける頻度が桁違いに多いです。

Wpはプログラムの塊なのであり、この動力部分のプログラムを悪意を持って操作改ざんすると、以下のように自社サイトを好き放題荒らされてしまいます。

> サイトののっとり

> ページ内容の改ざん

> フィッシング詐欺用のページ

> スパムページの自動生成

> ページにマルチウェアを仕込まれ犯罪行為に用いられる など

改ざんが行われると、復旧作業としてプログラム内を不具合箇所をしらみつぶしに探すことになり、膨大な労と力コストがかかってしまいます

そうならないために、数々のセキュリティ対策と日々のメンテナンスが必要となってきます。

WPセキュリティ対策のポイント

WPのセキュリティ対策としては、大きく下記2つの観点が重要であり、攻撃を受けやすい箇所です。

「ログイン情報を守る」

→ id情報、パスワード情報

「プログラムの穴(貧弱性)を塞ぐ」

→ WP本体、プラグイン、データベースなど

WPの具体的なセキュリティ対策

下記は最低限で行いたいセキュリティ対策です。

ログイン情報を守る対策

✔ id、pasの強化

推測されやすいid、パスにしない

✔ アクセス制限

特定ipのみで接続可、basic認証かける

基本は特定のIPのみの接続可能に設定が良い。それが難しい場合は、最低限basic認証はかける必要あり。

✔ ログ管理

wp activity log(プラグイン)などを活用して、WPの作業ログをとる

プログラムの穴(貧弱性)を塞ぐ対策

✔ wp-config.phpのパーミッション変更

WPインストール時に、wp-config.phpのパーミッションを600に変更。

インストールした初期状態は、wpを使用してることがわかるタグが挿入されており、攻撃対象になりやすい。自動生成したタグを削除するコマンドをfunctions.phpに記述するのがおすすめ

✔ プラグインの整理

不使用のプラグインは削除する。素性のわからないプラグインは削除する

✔ 適宜アップデートを行う

WPプログラムと、拡張プラグインを最新バージョン更新。セキュリティ対策の基本は、原則、常にバージョンアップで最新にすること。

✔ セキュリティ強化

プラグイン(siteGuard WP Pluginなど)の導入で対策を行う。

  • ログインページ名の変更
  • ログイン画面に画像認証の追加
  • 複数回のアクセス失敗で一時的にロックする
  • フェールスワン設定(正しいログイン情報でも一度エラーにする)
  • ログインエラー時に、具体的なエラー内容は表示しない
  • ログイン通知
  • Wp本体やプラグイン更新の通知

✔ バックアップをとる

定期的にバックアップをとり、トラブル時の復旧に備える。をとる。

まとめ

プログラムも経年劣化により穴が開いてきます。この穴を塞ぐアップデートが制作者で常時発表されているので、アップデートを適宜行うことが基本です。

また、プラグインなどの拡張機能で、更なるセキュリティ対策を追加することも重要です。こうした対策は管理者にとっては運営する上で不便かもしれません。しかしそれは攻撃者にとっても同様です。なので面倒な仕掛けが有効となります。