ワードプレスのデータベースのプレフィクス(接頭辞)を変えることでSQLインジェクションが成功する可能性を減らすことができます。この方法を解説いたします。
ワードプレスのデータベースのプレフィックスとは?
プレフィックスとは、データベースのデータを格納するテーブルの接頭辞のことで、ワードプレスをインストールすると初期値はwp_になります。
ほとんどのワードプレスサイトはこのwp_が使用されている事かと思います。このプレフィクスを変えることで、一つのデータベースに複数のワードプレスを入れたり、セキュリティーも向上させることができます。
SQLインジェクションとは?
SQLインジェクションとは、プラグインやテーマの脆弱性の一つで、この脆弱性があるプラグインやテーマを使用し続けていると、外部から、上記データベースを書き換えるコードを送信されてデータベースを書き換えされることになります。
データベースを書き換えられると投稿内容が不正に編集されてしまったり、不正なユーザーが生成されたりします。
この場合に、ハッカーは多くのワードプレスで使われているwp_というプレフィクスを使用して書き換えしたいデータベースを指定してきますので、プレフィクスが違う場合、攻撃が成功する可能性を減らすことができます。
SQLインジェクションの脆弱性は脆弱性全体の数から考えると少なめのため、プレフィクスを変えることは必須ではありませんが、非常にセキュリティーを重視されるサイトでは変更された方がいいかとは存じます。
データベースのプレフィックスを変える
データベースを直接いじってプレフィクスを変えると、ワードプレスのユーザーの権限もプレフィクスに応じて保存されていますのでログインできなくなったり、管理画面の機能が使えなくなったりします。
また、wp-config.phpにプレフィクスが設定されていますので、こちらも変更しないとデータベース接続エラーになります。
このようなプレフィクス関連の処理を自動で行ってくれるプラグインを使用してプレフィクスを変更します。
プラグインの追加画面で、 Brozzme DB Prefix & Tools Addons と入力してプラグインをインストール、有効化します。
次にツール>DB prefixから新しいプレフィクスを指定して、変更ボタンを押します。
変更後はこのプラグインは削除されても問題ございません。
お試しください。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除や安全なアップデートのご依頼ご相談は、WPドクターまでお気軽にお送りください
