【STAGE-5】重要!WordPressのセキュリティ対策一覧!!

WordPressセキュリティ対策,サイトを守る方法,ウィスルから守る,予防, アフィリエイト
ぶー助
ぶー助

こんにちは、ぶーすけだよ

WordPressはオープンソースで世界で一番多く使われているCMSです。
元々オープンソースは脆弱性が発見しやすくハッカーの標的になりやすいですが、WordPressは世界一を誇るサービスの為、ハッカーの数も比例して多いです。

せっかく苦労して作ったサイトで稼げるようになった所でハッカーの餌食になったらすべてが水の泡になっちゃいます。^^;
自分のサイトを守ることができるのは自分自身しかいません。セキュリティ問題を軽視せず、今後運営していく上で不安要素を少しでも無くしていきましょう。

当記事の構成は主に3つに分かれてます
【セキュリティ対策の心得~継続編~】
・テーマやプラグインは公式から公開されているものを選択
・『WordPress、テーマ、プラグイン』のバージョンアップ
・使用していないプラグインの削除

【セキュリティ対策の心得~設定編~】
・『wp-config.php』をアクセス不可
・ディレクトリ表示の禁止
・head内のWordPressのバージョン情報を非表示にする
・その他のWordPress&プラグインバージョン情報を非表示にする
・デフォルトユーザーの「admin」は削除しておく

【セキュリティ対策の心得~プラグイン編~】
・ブルートフォースアタック、パスワードリスト攻撃対策
・スパムコメント対策
・ログイン画面ひらがな画像認証、ログインロック
・ログイン画面URLを変更
・XML-RPCの無効設定

当記事にはWordPress本体に関わる設定もあるので必ずバックアップを取ってから設定しましょう!
自己責任でお願いしますm(_ _)m
ぶー助
ぶー助

えっこんなにあるぶ、、、

きたきつね
きたきつね

こんだけあるが大事だからサボるなよ

 ハッカーはどんな攻撃をしてくるのか?

過去に起きた事件や、どのような方法でサイト管理者に被害をおわせるのかを紹介します。

2017年2月に起きた最悪級の脆弱性

WordPressのREST APIに起因する脆弱性が発覚し改善。しかし最新版の修正情報から解析された旧版の脆弱性を突破できる悪用コードが掲載されてしまい
最新版へバージョンアップしなかった150万以上のサイトが改ざん被害を受けさらにバージョンアップしない限り改ざんされ続けるとの調査結果。

米Feedjitは把握しているだけでも20余りの集団が別々に攻撃を展開していると報告されています。
出典:ITエンタープライズ

ブルートフォースアタック(総当り攻撃)

ソフトウェアの脆弱性に着目する攻撃とは異なり、ユーザー名・パスワードをログインが成功するまでひたすらロボットが繰り返し不正ログインを試みます。
攻撃の性質上、尋常でない回数のログインを繰り返すためhttpリクエストの数が多すぎてサーバーのメモリ上限に達してパフォーマンス低下を引き起こすこともあります。

シンプルな攻撃なので対策を立てるのは難しくないです。

出典:Wikipedia

スパムコメントの大量投稿

スパムコメント(Spam Cmment)はブログとは関連性のないコメントが無差別かつ大量に投稿されることです。サイトは大量のコメントにより容量を食いつぶされたり動作が悪くなる可能性がありますし、読者によるコメントが埋もれてしまい探すのに大量の時間を消費します。

多くの場合は海外サーバーから送られ、英語だけやURLだけといったものもあります。

 セキュリティ対策の心得~継続編~

ハッカーは進化しています。一度対策してもまた新しい脆弱性を見つけては攻撃を繰り返してくるのでその都度、撃退しなければなりません。
WordPressを使い続ける限り気をつけておかなければならない継続的な心得を3点紹介します。

きたきつね
きたきつね

WordPressを続ける以上は覚えておいてくれ

テーマやプラグインは公式から公開されているものを選択

WordPressを利用するにあたって必須といえるテーマやプラグインですがここにもハッカーが脆弱性を狙い攻撃してきます。
公式で公開しているテーマ、プラグインは厳しい審査を経て公開されています。
脆弱性が見つかったら早急に対策を取りバージョンアップをします。

しかし非公式(野良テーマ・野良プラグインと呼ばれる)の場合だと脆弱性の発見も対策も遅い事が多い上に、少数ではありますが悪意を持って作成されたものには最初からバグ・ウィスルが含まれていることもあり自分自身で見極めが必要です。
ダウンロードするにあたってのハードルが高いので玄人以外は手を出すべきではありません。

もちろん公式だから絶対安全!というわけではありませんが不安要素をなくす為には大事な事です。

公式テーマ・公式プラグイン確認方法

 

基本的にテーマもプラグインもWordPress内で検索できるものはすべて公式です。

※公式でも最終更新日が3年前とかもあるので要確認

 

プラグイン公式 確認方法

プラグインの検索方法 ①、②をクリック ③で検索

WordPress・テーマ・プラグインは最新版にアップデート

ハッカーはどんな攻撃をしてくるか?でも紹介している通りバージョンアップを怠ったが為にハッカーの攻撃対象になることがあります。
WordPress・プラグイン管理者はハッカーの攻撃を受けて、脆弱性を見つけては修正してを繰り返して日夜頑張ってくれています。
しかし今後もイタチゴッコは終わることがないので置いてけぼりにならないよう常に最新版にするように心掛けましょう。

中には何年もバージョンアップを行っていないテーマ・プラグインもあるので確認しましょう。

使用していないプラグインの削除

長年サイトを運営していると不要になったプラグインがでてきます。
中には現状使用中でもプラグイン開発者が長いことメンテナンスをしておらずセキュリティホールが発生してしまうことがあります。
定期的にチェックして不要・危険なプラグインは削除しましょう。

『削除』をクリックで不要なプラグインの削除ができます。
※稼働中のプラグインは『停止』をクリックしてからでないと『削除』が表示されません

プラグイン削除方法

セキュリティ対策の心得~設定編~

継続的なセキュリティ対策ではなく、一度設定してしまえばいい対策方法を紹介します。
この設定編が以外と詳しく載っているサイトが少ないので苦労する人が多いかと思います。

WordPress本体の中身を操作することになるのでバックアップを取ってから挑みましょう!
記事内に【.htaccess内に記述】とありますが【.htaccess】自体はWordPressから設定するのではなく契約しているレンタルサーバーから設定をします。

.htaccess設定方法(エックスサーバー)

まずはServerPanelに(https://www.xserver.ne.jp/login_server.php)にログイン
【.htaccess】をクリック

htaccess編集



自分のドメインを選び『選択する』

ドメイン選択



【.htaccess】内に上からコピペします

.htaccess とは?
きたきつね
きたきつね

次は設定だ!一度やっちまえば大丈夫だ

『wp-config.php』『.htaccess』を保護(アクセス不可)

【wp-config.php】とは?
データベース(テーブルの集合体)のアカウント情報が載っているファイルなので、最も重要でセキュリティレベルを高く設定する必要があるファイルです。

【.htaccess】とは?
ウェブサイトを配信するサーバーの情報配信方法を設定するファイルで複数存在することができます。
対象ファイルの配下に設置された場合その対象ファイルに対してコマンドを実行します。

これらのファイルがハッカーに盗まれてしまうとデータベースを直に操作されてしまう危険性がありますので、保護(アクセス不可)してパーミッションを厳しく設定する必要があるので.htaccessにコードを記述します。

.htaccessにコード記述↓『wp-config.php』の保護

.htaccessにコード記述↓『.htaccess』の保護

ディレクトリ表示の禁止

ブラウザからディレクトリにアクセスされるとファイル一覧が見える状態ではハッカーに攻撃のヒントを与えるきっかけになる為、表示されないよう.htaccessにコードを記述します。

.htaccessにコード記述↓

ここからは【functions.php】に記述

ここからは【functions.php】にコピペしますので【.htaccess】とは違いWordPressにログインして設定をします。

【functions.php】の場所・設定方法
①、②をクリック
③子テーマになっているか確認
※親テーマでも問題無いですがバージョンアップで設定がクリアされます
④テーマのための関数(functions.php)をクリック
※『テーマのための関数』は使用しているテーマによって名称が異なる場合があります

functions.phpの場所設定方法 functionsってどこにある?
きたきつね
きたきつね

子テーマをちゃんとインストールしていれば③で最初から子テーマが選択されてるぞ

head内のWordPressのバージョン情報を非表示にする

ブログを公開していると、HTMLソース内にWordPressのバージョン情報が表示されています。
古いバージョンを使っている場合ハッカーの攻撃対象になる確率があがります。
外部に漏らす必要のない情報なので、重要性は低いですが非表示設定をしておきましょう。

functions.phpにコード記述↓

その他のWordPress&プラグインバージョン情報を非表示にする

【head内】以外でもWordPressバージョン情報が表示されています。
それにプラグインバージョン情報も表示する必要性がないので非表示にしましょう。

functions.phpにコード記述↓

デフォルトユーザーの「admin」は削除しておく

これはWordPress登録時にユーザー名を指定しないで【admin】のまま登録してしまった方向けです。
『おうち稼ぎ』では登録時にユーザー名を変えるよう推奨していますが、変更したか忘れてしまった方はユーザー名の確認もしてみてください。

詳細は↓記事にて

セキュリティ対策の心得~プラグイン編~

ほかにもするべきセキュリティ対策が多くあるのでここではプラグインに頼ります!

【SiteGuard WP Plugin】というプラグインでこれ一つ入れておけば多くのセキュリティ対策を担ってくれます。

ざっと書くだけでも
・管理ページアクセス制限
・ログインページ変更
・ログイン時画像認証
・ログインロック

ログイン関係に関して多くを担うことのできるセキュリティプラグインで、海外製が多いなか日本製で日本語表記なので設定も容易です。

↓こちらの記事で確認しながら設定してください

まとめ

設定自体は容易でも馴れないことをすると調べながらやるので時間がかかったり、疲れがたまったりしますよね。。。

結構めんどうな作業もありますが、セキュリティ対策はWordPressを続けていく上でかなり重要な役目を果たします。

この記事にあるセキュリティ対策を行えばほぼ大丈夫です!(多分!!笑)
ハッカー達はあたらしい手口を考えてくるものなのでなにか新たな対策があれば追記しますのでご安心ください!

続いてはテーマ選びです!
今回のようなつまらない作業から変化を感じれる作業なので少しは楽しめるかと思うよ!!

ぶー助
ぶー助

たしかにつまらない作業が多かったぶ

きたきつね
きたきつね

まぁおもしろくはないな
だが重要だぞ

最後まで読んでいただきありがとうございました!
記事が少しでも良かった!と思えたらシェアお願いします!

コメント

タイトルとURLをコピーしました