こんにちはワードプレスドクターの吉田です。今回はワードプレスのセキュリティーを向上する上で最も基本的な事項を公開いたします。これをしておけば100%とは保証しかねますがセキュリティーはかなり向上すると思います。
初めに〜ハッカーがワードプレスを狙う理由と行う事〜
最初にハッカーが何故ワードプレスを狙うのかをご説明します。ワードプレスは世界中できわめて多くのサイトで利用されているシステムです。脆弱性も公開されており、古いバージョンのワードプレス(特に3.4〜3.6)はハッカーにとってはわりと簡単に管理者権限を奪取して他人のウェブサイトを書き換える事もできてしまいます。この事によって、ハッカーが行う事は多種多様ですが、基本的には自分の手を汚さずに他人のウェブサイトを改ざんして、様々な利得を得る為にハッキング行為を行っています。ハッカーが他人のウェブサイトを改ざんして行う事の類型は下記となっています。
・踏み台にしたワードプレスからSpamメールの送信
・改ざん元ウェブサイトに訪れたユーザーを強制的に別のサイトに飛ばす
・改ざん元ウェブサイトに訪れたユーザーに、不正なソフトウェアをダウンロードさせる
・改ざん元ウェブサイトに訪れたユーザーのサイトで物品を販売
・改ざん元ウェブサイトに訪れたユーザーに任意の広告ウィンドウを表示する
・改ざん元ウェブサイトを多数束ねてボットネットを構築し、DDosアタックの踏み台にする
等、多くの場合他の方に迷惑がかかるようなサイト改ざんをしますので責任が本サイトに在るような状態となり大変危険な事になります。
どこから、どうやってハッキングしているのか?
7割以上のハッキングがロシア、又は中国からの物だと弊社では考えています。故に例えばワードプレスの管理画面へのアクセスを国内に限定するなどのセキュリティーファイアウィールがサクラサーバーやWPXで提供されていますのでこちらを有効にするとかなり効果的です。
また、ハッキングはどのようにされているのかというと、ここでは名前を書きませんがワードプレスをスキャンして脆弱性を一覧にして表示してくれるソフトウェアがあり、そのソフトウェアには総当たり攻撃でワードプレスの管理機能を奪取する機能もついています。ハッカーはまず、Googleでワードプレス特有の文字列で検索し、ワードプレスのサイトを見つけたら、このソフトウェアでワードプレスのバージョンを取得し、古いバージョンのワードプレスやプラグインを使用していたら脆弱性を調べて侵入を試みます。
あるワードプレスのバージョンでは、コメント欄に特定文字列を書き込むだけで管理権限を奪取できるような脆弱性もある事から、一度目をつけられるとハッキングされるまでは数分という事もございます。(逆に言えば、簡単に侵入できないとわかるとすぐに諦めます。それほど強力なハッキング能力のある人物は多くはありませんしもっと脆弱性のあるサイトは五万とあるからです)
セキュリティ対策1 ワードプレス本体やプラグインのバージョンを最新にしましょう
ワードプレスの3系列の脆弱性は広くハッカーに知れ渡っており、狙われやすいです。中にはコメント欄に書き込むだけでワードプレスの管理者権限を奪取できるような大変危険な脆弱性もございます。
http://サイトURL/readme.htmlにアクセスすると、ワードプレスのバージョンはある程度わかってしまいますので、ワードプレスは最新の物に3ヶ月に一回は更新されて保たれる事をお勧めいたします。
プラグインも、また脆弱性が含まれている事があり、改ざんの入り口となる事があります。特にインストール数数万以上の著名プラグインは脆弱性が有名な物もありますので、こちらも3ヶ月に1度は最新の物にアップデートしましょう。
セキュリティ対策2 ログインIDやパスワードを強力にしよう
新しいワードプレスは強力なパスワードが自動生成されるようになりました。できれば、パスワードはこのワードプレスが生成した物をそのまま使いましょう。
もし、過去のワードプレスからアップデートして使用し続けていて、管理者名がadminでパスワードが英文字しか含まれていないようでしたら注意が必要です。管理者名はadminを避け、またパスワードも半角英数記号が一つ以上含まれている12文字以上の物にされてください。パスワードの変更は管理画面の「ユーザー」→「ユーザー一覧」から行う事ができます。
セキュリティ対策3 wp-config.php認証用ユニークキー強力にしよう
稀にクライアント様のワードプレスでこのwp-config.phpの「認証用ユニークキー」が全て初期の物のままである事があります。認証用ユニークキーはワードプレスのパスワードを内部でやり取りする際にさらに強力にする為の物ですので、こちらは下記のURLで生成される(アクセスする度に一意の物が自動生成されます)物を使用されるようにしてください(公開済みのサイトの物を途中で変更されても問題ございません)
また、インストール前であるならば、データベースのプレフィックス(接頭子)をwp_以外の物に変える事もセキュリティー上有効です。(構築後にこの設定を変えると権限エラーで管理画面が使用できなくなりますのでご注意ください)
セキュリティ対策4 パーミッションを適切に設定しよう
ワードプレスのフォルダで、書き込みがされるのは基本的には、画像等のアップロードが保存される、wp-content/uploadフォルダのみです。
ハッカーの改ざんはパーミッション(フォルダの書き込み権限)が甘い事を逆手に取って様々なファイルやフォルダに改ざんファイルを書き込みます。これを防ぐ為に、強力なセキュリティーを確保したいのであれば、wp-content/upload以外のフォルダとファイルを全て「書き込み不可」の権限に変えてしまいましょう。(自動更新の際は、一旦パーミションを元に戻して、更新される必要がございます)
セキュリティ対策5 wp-login.php xmlrpc.phpのブルートフォースアタック(総当たり攻撃)を防ごう
wp-login.php xmlrpc.phpは、ハッカーが総当たりで管理者IDとパスワードを機械的に入力して、管理者権限を奪取する為にアクセスするファイルです。この総当たり攻撃を防ぐには、何度かログインに失敗するとIPアドレスをロックするしたり、ログイン画面にキャプチャをつけるプラグインを導入することである程度防ぐ事が可能です。
Loginlockdown
Captcha by BestWebSoft
セキュリティ対策5コメントスパムを防ごう
WordPressのコメント欄は匿名で書き込める為、コメントスパム(被リンクを得る為に、意味の無いURLを書き込む)や、古いバージョンのワードプレスでは、クロスサイトスクリプティングやSQLインジェクション(データベースの内容をのぞく)にも使われる事があります。ワードプレス付属のコメントスパムを防ぐプラグインAkismetを使用したり、コメントを無効にしたり、コメント欄にキャプチャをつける等の施策でコメント欄を守りましょう。
コメントを無効にするには?
ワードプレスの管理画面、設定→ディスカッションから「新しい投稿へのコメントを許可する」のチェックを外します
セキュリティ対策6 セキュリティープラグインを導入しよう
最近では、ワードプレスの改ざん被害が多発している事から、さまざまなセキュリティープラグインが登場してきています。初心者の方にお勧めなのが、Site Guardです。
ログイン画面のキャプチャの導入や、総当たり攻撃も導入するだけで行ってくれる設定が最も簡単なセキュリティープラグインです。
また設定が複雑で難しいのですが、弊社では下記のプラグインの導入と設定をクライアント様の多くにさせていただいております
All In One WP Security & Firewall
セキュリティ対策7 作業者のPCのウィルス検査と、FTPパスワードを見直そう
ワードプレスの改ざん被害は、実はウェブ上だけで起こっているとは限りません。FTPの情報がウィルスによって、ハッカーに漏れる事もあります。実は作業者のPCにも改ざん被害のリスクはありますので、このコンピュターがウィルスに感染していないか市販のウィルスソフトで検査を定期的にされる事をお勧めいたします。
また、一度wordpressの改ざん被害に遭われたら、FTPのパスワードも漏れていると疑った方が良いです。ゆえにFTPのパスワードも定期的に変えられる事をお勧めいたします。方法は各サーバー会社のサイトに記載があるかと思います
例としてsakuraサーバーのFTPパスワードの変え方は下記から参照されてください