WordPress

【WordPress】セキュリティ対策!必ずやりたい5個の技!




WordPress でのセキュリティ対策、最低限、これだけはやっておきたい5個の技を紹介します。

紹介というか、もはやほぼ必須 ですので、今現在セキュリティ対策をしていない WordPress ご利用者の方、


いますぐ対策おすすめします!


いや、まじで!


ポイント

セキュリティ対策は、どれだけ対策しても万全ということはありません。常に警戒を怠らず安全な対策をとり続ける必要があります。

本記事で紹介した5個の技は最低限実施するべき技ですので、(これ以外にも)更なるセキュリティ強化もご検討ください。


セキュリティ対策!かならずやりたい5個の技


かならずやりたい5個の技はこれです!


セキュリティ強化プラグインを使う総合的なセキュリティ強化プラグインを最低限1個使います。
WordPress のテーマ、プラグインは公式のみ使う必ず【公式】のモノを、公式のサイトからダウンロードして使います。
WordPress、テーマ、プラグインは最新版に更新するセキュリティ対策は日々更新されていますので、最新版を使います。
admin ユーザを削除するみんな知ってるアカウント名 admin は削除します。
wp-config.php のアクセス権限を変更する重要な情報が乗っているコンフィグファイルへのアクセスを制限します。

ひとつづつ見ていきましょう!


セキュリティ強化プラグインを使う


WordPress には数多くのセキュリティ強化プラグインが存在します。

プラグイン1個で総合的にセキュリティを強化してくれるものを選び、導入します。


おすすめは [SiteGuard] プラグインです。


ポイント

[SiteGuard] プラグインは、WordPress 管理ページとログインに対する攻撃から守るセキュリティプラグインです。[SiteGuard] は日本製で設定画面が日本語で使いやすく、機能が充実しているのが特徴です。


セキュリティ対策のプラグインは複数設置した場合、機能が競合する可能性がありますので、どれか一つを選ぶとした場合、重要な機能が複数補完されている、この [SiteGuard] プラグインをおすすめします。

[SiteGuard] ひとつで、次の12種類の対策をすることができます。


管理ページアクセス制限ログインしていない接続元から管理ディレクトリへのアクセスを制限します。
ログインページ変更ログインページ名を変更します。
これは目に見えて対策できるので、かなり安心します。URL 忘れると大変(笑)
画像認証ログインページ、コメント投稿に画像認証を追加します。
ロボットなどの自動アタックを防止する有効な手段です。毎回いれるの面倒だけど(笑)
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
解析させない(笑)自分でもログイン失敗理由がわからない(笑)
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。
マジでミスった時の待っている間がしんどい(笑)
ログインアラート
ログインがあったことを、メールで通知します。
自分がログインしたメールがめっちゃ来る(笑)
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
やだ(笑)ロボットの無差別(総当たりアタック対策としてはかなり有効(笑)
XMLRPC防御XMLRPCの悪用を防ぎます。
更新通知
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
WordPress の管理画面をみるとわかりますが、メール通知は気づくトリガになります。
WAFチューニングサポート
WAF の除外ルールを作成します。
詳細設定(IPアドレスの取得方法を設定)
IPアドレスの取得方法を設定します。

・リモートアドレス
・X-Forwarded-For レベル:1
・X-Forwarded-For レベル:2
・X-Forwarded-For レベル:3
ログイン履歴
ログインの履歴(過去10000件)を保持し、管理画面で参照できるようにします。

特に、「ログインページ変更」機能は「ログインするためのURL」を変えることができるので、通常のログインURLからの無差別アタックを防止できますし、「画像認証」はロボットによるアタック防止に強い効果を発揮しますので、必ず設定しておきたい機能です。


【WordPress】セキュリティ対策プラグイン [SiteGuard] の使い方!和製プラグインで設定画面が日本語なのが使いやすい!

WordPress セキュリティ対策プラグインはたくさんありますが、和製プレグイン [SiteGuard] がめっちゃおすすめです。何と言っても設定画面が日本語です(笑)。でもそこ大事![SiteGuard] プラグインの効果的な使い方を解説します。ぜひご一読、お試しくださいませ。

続きを見る


WordPressの テーマ、プラグイン は公式のみ使う


WordPress のテーマ、プラグインは、チェックを受けて合格したもののみ公式認定されています。

非公式のテーマ、プラグインは、最新のセキュリティ対策がとられていない(更新がない)可能性もあり、また、悪意のあるコードが埋め込まれている可能性も否定できません。

そのため、

テーマ、プラグインは かならず公式のもののみ使います。


ポイント

非公式のテーマ、プラグインの利用は、自宅の住所とカギを見ず知らずの他人に預けるようなもの です。

かららず公式のテーマ、プラグインを使いましょう。


WordPress、テーマ、プラグインは最新版に更新する


悪意のあるアタッカーは常に製品の不具合(バグ)や脆弱性を狙っています。

公式のテーマ、プラグインはセキュリティ対策頻度が高く、新しい脆弱性に対しても比較的速やかにの対策されますので、できるだけ細かい頻度で最新版に更新しておくことがセキュリティ対策として重要になります。

古いバージョンを使っていると、製品不具合や脆弱性が残っているプログラムを使い続けている可能性があるため、WordPress 本体、テーマ、プラグインは常に最新に更新しておく必要があります。


ポイント

公式のテーマ、プラグインの場合、バージョンアップが必要になると、WordPress の管理画面(ダッシュボードなど)にアラートが出ますので、定期的にチェックして、常に最新化しておきましょう。


admin ユーザを削除する


WordPress のディフォルト(初期)の管理者アカウントの admin は削除(利用不可)にして、別の管理者アカウントを作成して利用するようにします。


ログインするための認証には、「アカウント名」と「パスワード」が必要ですが、「アカウント名」で「admin」が有効な場合、アタッカーはパスワードのみ解析すればよくなりセキュリティレベルが下がります。標準実装のアカウント名「admin」は利用不可にすることをおすすめします。


ポイント

「お名前.com」のレンタルサーバでは、WordPress を設定画面からクリック操作でインストールできますが、この場合、自動で、[admin] ユーザは削除されており、新規にランダムの管理者アカウントが発行されています。


[お名前.com] 申し込みはこちら


wp-config.php のアクセス権限を変更する


[wp-config.php] は WordPress の設定ファイルの一つである、ここには、データベースのアカウントとパスワードが記入されています。

こちらにアクセスできる権限を管理者のみ(ファイルの所有者のみ)に限定します。


ディフォルトのアクセス権限は【644】となっていますので、【600】に変更します。


644って何ですか?(@_@


1個目の数字は所有者の権限を示し、「6」は、Read(読み)、Write(更新)を許可しています。

2個目はグループ、3個目はその他の権限を示し、「4」は、Read(読み)を許可しています。

権限「0」は権限なしとなりますので、ファイルの所有者のみ読み書きができるように、権限を【600】に変更します。


変更方法はレンタルサーバの提供サービス元によって変わりますが、一般的にはレンタルサーバのサービスが提供している管理画面、ファイルマネージャなど、または FTPソフト等で変更します。



ポイント

またもや「お名前.com」のレンタルサーバですが(笑)、[wp-config.php] はインストール後の初期状態で [600] で設定されています。


[お名前.com] 申し込みはこちら


まとめ


WordPress ではセキュリティ対策が重要です。以下、最低限、これだけはやっておきたい5個の技です。



  • セキュリティ強化プラグインを使う
  • WordPress のテーマ、プラグインは公式のみ使う
  • WordPress、テーマ、プラグインは最新版に更新する
  • admin ユーザを削除する
  • wp-config.php のアクセス権限を変更する


ただし、セキュリティ対策は日々進化していますので、上記5点のみで安心せず、常に新しい情報にアンテナを張り、新しい対策を取り入れるようにしてください。



Enjoy!大事なものは自分で守る!




WordPress の情報、テクニック一覧はこちらをクリック!









Presented By Irojiro Haraguro .Com

ブログランキング・にほんブログ村へ