ワードプレスのセキュリティー対策で無料でできるものを5つご紹介いたします。
この記事の目次
1 ワードプレスが生成するパスワードを使用します
ワードプレスが自動生成するパスワードを使用すると、これだけで、管理画面のログイン施行を繰り返して管理者権限を奪取するブルートフォースアタックを論理上完全に防ぐことが可能です。
論理上このパスワードを破るには数百年かかるほどの強度があり、ログイン画面のURLを秘匿したリ、キャプチャをつける前に、パスワードを強力にすることが最も重要なセキュリティー対策となります。
ユーザーのパスワードはワードプレスの管理画面>ユーザー一覧>プロフィール編集 より行うことが可能です。
2 プラグインやテーマの運用
プラグインやテーマの運用で下記の点をお気を付けいただくと、プログラムの脆弱性を突いてワードプレスが改ざんされることはほぼなくなります。
ハッカーの多くは、公開されている脆弱性を利用してハッキングを行い、かつ多くの場合プラグイン製作者が脆弱性を最新バージョンでふさいでいるからです。
・プラグインやテーマで使用されていないものは停止削除します
・プラグインはできるだけ少なくし、数年間更新の無いプラグインはできるだけ使用しないようにします
(ただ、マイナーなプラグインは更新されなくなっていても脆弱性を利用されることが少ないです。普及しているプラグインは常に更新されているプラグインである場合が多いです)
・数カ月に一度、プラグインをアップデートします
(アップデートで不具合が出るかどうか確認されたい場合は、テストサイトを作りそちらでアップデートを行ってから本番環境でサイトをバックアップの上アップデートを行います)
3 サーバー上に不要なファイルやサイトを置いておかないようにします
サーバー上に使用されていないワードプレスサイトが放置されていませんか?
この放置されたワードプレスが古くなっていると、こちらのサイトがハッキングされて、サーバー上の他のサイトに改ざんが及ぶことがあります。
不正プログラムはフォルダを飛び越えてサーバー上のあらゆるファイルにアクセスできてしまい書き換えることもできるからです。
また、PHPMYADMINをワードプレスと同じフォルダに設置していることも、ハッカーがデータベースにログインできてしまう可能性を高めます(wp-config.phpを引き抜かれた場合)。
データベースにログインできてしまうとハッカーは管理者権限のユーザーのログインパスワードを書き換えるなどして管理者としてログインできるようになってしまいます。
4 サイトをSSL化します
SSL(HTTPS)化は昨今多くのサーバーで無料でできるようになっています。
サイトをSSL化すると、ワードプレスとユーザー間のユーザーID,やパスワードを含むデータのやり取りがすべて暗号化され、論理上経由サーバー等でその内容を見ることができなくなります。
ワードプレスサイトのSSL化はワードプレスドクターで代行いたしますことも可能です。
5 プラグインでセキュリティー対策
プラグインにおけるセキュリティー機能で特に重要なのが下記の5機能となります。
ログインロックダウン
機械的に繰り返しログイン施行を行うハッカーの総当たり攻撃を検出し、ログイン画面を一定時間アクセス禁止にします。
このことによりサイトの不正アクセスによる負荷が減りサイト速度が大きく向上することもございます。
ワードプレスのバージョンの漏洩を防止
ワードプレスは、バージョン4までreadme.htmlにバージョンが記載されていました、またHTMLのコードの中にプラグインや本体のバージョンを出力します。
ハッカーは検索エンジンに特殊な検索クエリを入力して脆弱なサイトを探すため、こういった情報が出力されないようにする機能は特に重要となります。
Indexリストの表示を禁止
Indexリストとは、サーバーにあるフォルダにindex.htmlがない場合に、そのフォルダに含まれるファイルの一覧が表示されるサーバーの機能です。
この機能により、検査エンジンが脆弱性のあるプラグインのフォルダを拾ってしまい、検索エンジンに引っかかっていることがあります。
ハッカーは検索エンジンを利用してこういった脆弱性を発見しますのでIndexリストが表示されないように機能制限を行う必要がございます。
ファイルの書き込み権限
ワードプレスのファイルの書き込み権限を、最も緩い設定777にしていると、ハッカーが脆弱性を利用して容易にファイルの書き換え(改ざん)ができるようになってしまいます。
ファイルの書き込み権限を適切な強度にすることでファイルの改ざんが行いにくくなります。
スパムボットのコメント投稿の禁止
ワードプレスのコメント欄に、機械的にスパムコメントを書き込むのを防ぐために、このようなコメントを事前にブロックする機能です。
ワードプレスのコメント欄がスパムで汚染され、またメール通知を利用したスパムメール送信にも利用されることがございます。
このような機能が無料でできるプラグインは下記となります。
・All In One WP Security & Firewall
・Wordfence Security – Firewall & Malware Scan
・【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] でハッカーがワードプレスサイトに侵入しにくくなる無料のセキュリティー対策をワンクリックで簡単にサイトに適応することが可能です。
また、自動で深夜にマルウェアを検査・通知していくれる機能も搭載していますので、マルウェア感染が即時に発見できるようになり、安心のサイト運営ができるようになります。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策の代行のご相談・ご依頼はお気軽にWPドクターまでお送りください