ワードプレスのテストサイトをハッキングの踏み台にしないために

ワードプレスのテストサイトがハッキングの踏み台にならないための対策をいくつかご紹介いたします

ワードプレスのテストサイト

ワードプレスのテストサイトは/test 等のサブディレクトリで運用されていたり、test.ワードプレスのURL等のサブドメインで運用されている場合が多いかと存じます。
このサブドメインのサイトは、サーバーによっては本体ワードプレスのサブディレクトリに展開されている場合があります。

テストサイトは、その性格上、不使用のプラグインが放置されていたり、あまり使用されなくなって古いバージョンのまま放置されている場合もあります。この場合テストサイトがハッキングされてマルウェアに感染し、そのテストサイトのフォルダを超えて本番サイトにマルウェア感染が広がる事例が当社のクライアント様で複数ございました。

テストサイトにも本番サイト同様のセキュリティー対策をされることをお勧めいたします

昨今のマルウェアは、一つのワードプレスがインストールされている階層を超えて、フォルダ構造をスキャンしマルウェアを広げるものが多くなってきています。

この為サブドメインから本ドメインに感染が広がったり、サーバーの中にある複数のドメインに感染が広がってしまう事があります。

この為、サーバー上に存在し、かつ外部からのアクセスが可能なすべてのワードプレスサイトに基本的なセキュリティー対策をされることをお勧めいたします。

参考
無料でできるワードプレスのセキュリティー対策5選

テストサイトのセキュリティーを高める

テストサイトは、本来不特定多数の人々が外部からアクセスできる必要のないものです。
この為、さらに以下の３点のテストサイト用のセキュリティー対策も行う事をお勧めいたします。

１　検索結果にテストサイトがひっかからないようにする

ハッカーは検索結果からワードプレス特有の文字列で検索してサイトをハッキングのターゲットとなるサイトを探すことがあります。
この為、テストサイトを検索結果に出ないように対策を行います。

ワードプレスの管理画面＞設定＞表示設定　より　検索エンジンがサイトをインデックスしないようにする　にチェックを入れて設定保存します。

２　テストサイト全体をパスワードで保護する

Password Protected

Password Protected – Password Protect your WordPress Site, Pages, & WooCommerce Products – Restrict Content, Protect WooCommerce Category and more

プラグインを導入し、サイト全体をパスワードでプロテクトします。

※ただ、この方法では１の対策同様検索エンジンのアクセスや誤って一般のユーザーがテストサイトにアクセスするのを防ぐことはできますが、ハッカーの多くは、ワードプレスサイト上のプラグインの脆弱性に直接アクセスしたり、ログイン画面から総当たり攻撃でパスワードをクラックする攻撃を行うため、こういった攻撃を防ぐことはできません。

３　任意のIPのコンピューターだけのアクセスを許可する

テストサイトを保護する強力な方法は、任意のIPのみのアクセスを許可することになります。
お使いのIPをお調べいただいた上で、下記のように任意のIPのアクセスのみを許可します。

※設定はテストサイトのトップディレクトにあるhtaccessファイルに記載します。
※IPが変わる環境ではこの方法はお使いになれません。

order deny,allow
deny from all
allow from 111.222.333.444
allow from その他の許可するIPアアドレス

Apache2.4以降

<RequireAll>
Require all denied
Require ip 111.222.333.444
Require ip その他の許可するIPアアドレス
</RequireAll>

ご参考になりましたら幸いです。

WordPress ワードプレスのマルウェア駆除セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください