ワードプレスドクターでは年間数百件のサイトのマルウェアのクリーンアップやセキュアなサイトの制作のお手伝いをさせていただいています。
この経験から、重要度に応じてワードプレスをセキュアに運用するチェックリストを作りました。
ご参考になりましたら幸いです。
ワードプレスのセキュリティーで最も重要なのはたった3つ
この3つを満たしていたら、ワードプレスのハッキングの99.9%は防ぐことが可能です。
1 ワードプレスの管理者権限のパスワードが強力ですか?
半角英数記号を含む無意味な文字列、かつ12文字以上のパスワードを使用します。可能な限り、ワードプレスが自動生成するパスワードを使用しましょう。
2 不使用のプラグインやテーマをインストールしたままにしていませんか?またワードプレス本体やプラグインに脆弱性がありませんか?
不使用のテーマやプラグインを非有効なまま、置いておくと、機能は使われないのに、プログラムファイルだけ存在することになりますので、脆弱性のリスクのみを増やしてしまうことになります。
非有効化されているプラグインやテーマは削除していただき、脆弱性が無いかどうかも一度チェックされてみてください。
また、使用するプラグインの数はできるだけ少なくすることをお勧めいたします。
3 1,2を満たさないサイトがサーバー上に他にありませんか?
ハッキングされたくないサイトだけセキュリティーに気を付けていても、サーバー上の他のサイトが脆弱な場合、そのサイトがハッキング・改ざんされ、そのサイト経由で、別のドメインのフォルダも改ざんを受けることがございます。
上記1,2が同じサーバー上で、ルートフォルダを共有するすべてのワードプレスサイトで満たされているかご確認ください。
さらにワードプレスのセキュリティーを高めて安全にする5つのチェックリスト
4 セキュリティープラグインを導入し、適切に設定していますか?
当社お勧めのセキュリティープラグイン、
All In One WP Security & Firewall や 【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] を導入し、ワードプレスのセキュリティー機能を適切に設定します。
5 ログイン画面のセキュリティー
管理画面へのログインを機械的に何万回も行ってパスワードを突破する総当たり攻撃を防ぐために、ログイン画面にキャプチャを導入、またはログイン画面のURLを変更する機能を4のプラグインなどで有効にされることをお勧めいたします。
6 Index表示の禁止(フォルダ内の一覧を表示するのを禁止する機能)
サーバーのフォルダにアクセスしたときに、その中のファイル一覧を出力する機能がIndex出力機能ですが、この機能によって検索エンジンが脆弱性のあるプラグインのフォルダを検索結果に出す形になっている場合がございます。
この状態になっているとハッカーが、あなたのサイトに簡単に侵入できる手掛かりとなります。
Index表示の禁止 は4のプラグインでも可能ですし、HTACCESSに下記の文字列を書き込むことでも実施可能です。
Options -Indexes
7 ファイルの書き込み権限は適切に設定されていますか?
ワードプレスのファイルの書き込み権限が適切に設定されているかどうかは、4のプラグインでも検査できます。
ただ、書き込み権限をきつくしすぎると、ワードプレスやプラグインのの自動更新が適応されなくなったり、更新ができなくなったりします。
基本的には、777という書き込み権限は使用せず。750もしくは745以下(より厳しく)の権限にすべてのファイルの書き込み権限を設定しておけば、良いかとは存じます。
8 定期的なワードプレス本体とプラグインのアップデート
ワードプレスサイトの脆弱性対策として、最も有効なのが、定期的なアップデートです。
3カ月から6カ月に一度ワードプレスやプラグインを更新して最新バージョンに保つことが望ましいです。
ただ、アップデートによりサイトに不具合が出ることもありますので、バックアップを事前にとり、テストサイトを用意して、そちらで動作確認をしたうえで本サイトのアップデートを行うなどの方法を取ると安全にアップデートできます。
WordPress ワードプレスのマルウェア検査・駆除、セキュリティー対策、安全なアップデート、のご依頼・ご相談はお気軽にワードプレスドクターにお送りください
