BLOG セキュリティ対策 ワードプレス関連
セキュリティ

ワードプレスは世界で最も普及しているCMS且つオープンソースであると言う事から、多くの悪質なハッカーから狙われる事があります。

セキュリティ対策はキリが無く、高いレベルを求めると、相当なコストが掛かります。その為、最低限やっておくことを紹介したいと思います。

 

1.パスワードとユーザー名の適切な管理

当たり前かもしれませんが、まずはここがもっとも基本且つ大切な部分だと思います。

弊社にお問い合わせがあったお客様の中でも、ユーザー名が「admin」のままだったり、パスワードが6桁くらいで、簡単に推測できそうなものもあります。

 

ただ、ユーザー名は、authorなどで表示される事もあり、ばれてしまう可能性がありますので、「admin」「webmaseter」など、よく使われるもの以外ならOKかなと思います。やはり一番重要なのはパスワードです。

 

パスワードを決める際に意識する事は、以下のたった3つ

1.他のパスワードと共有しない

2.英数字、大文字小文字、記号を含めた10文字以上の文字列

3.ユーザー名やドメインに含まれている文字を含まない

 

2.ワードプレス本体のバージョン管理

ワードプレス本体のバージョンは定期的に更新されています。機能追加の為のバージョンアップもありますが、多くは、不具合(バグ)や脆弱性の改善のアップデートです。

その為、ワードプレス本体の新しいバージョンのお知らせがある場合、出来るだけタイムリーに更新を行った方が良いでしょう。

 

ワードプレスのマイナーアップデートとメジャーアップデート

ワードプレス本体のアップデートには、メジャーアップデート(「ver4.8⇒ver4.9」の様に、小数点第1位が上がるアップデート)と、マイナーアップデート(「ver4.8.1⇒ver4.8.2」の様に、小数点第2位が上がるアップデート)があります。

 

メジャーアップデートは、ワードプレス本体に、機能の追加や仕様が変更するなど、大きな変更が伴います。

マイナーアップデートは、主に、不具合(バグ)や脆弱性の改善の為のアップデートです。(通常このレベルのアップデートは、自動更新で勝手にアップデートされる事があります。)

また、これは意見が分かれるかもしれませんが、メジャーアップデートに関しては、直ぐにアップデートするより、少しだけ待った方が良い場合もあります。(メジャーアップデート後のマイナーアップデートが行われてから)

メジャーアップデートは大きな変更を伴う為、それによる不具合や脆弱性のリスクもあるからです。

 

3.プラグイン・テーマの適切な管理

ワードプレスに脆弱性のリスクをもたらすのは、何もワードプレス本体だけに限りません。プラグインの脆弱性をついてくる場合も多々あります。

その為、以下の事を気を付けて、適切に管理する必要があります。

1.プラグインのバージョンを最新の物に

プラグインもワードプレス本体と同様にアップデートが行われます。このプラグインのバージョンも、極力最新のバージョンに保っておくことをお勧めします。

 

2.なるべく信頼のおけるプラグインを使う

信頼の置けるプラグインを見分ける方法は、プラグインの新規追加画面で検索した時に、「星の数」「有効済みインストール数」「最終更新」の3つの要素である程度確認できます。

「星の数」が多くて、「インストール数」が多くて、「最終更新」が最近の物は、信頼できると言えます。

非公式(野良)のプラグインは出来るだけ避ける。

公式のプラグイン(管理画面から新規追加出来るプラグイン)が絶対に安全と言う訳ではないですが、非公式(野良)プラグインは、もっとリスクが高いと思います。

 

3.必要のないプラグインは削除

プラグインを使わなくなると、「停止」の状態で放置する場合がありますが、「有効化」されていなくても、プラグインがインストールされている事に変わりありません。使わないプラグインは「削除」しましょう。

 

4.セキュリティ対策のプラグインを使う

プラグインの中には、ワードプレスのセキュリティを向上してくれる物があります。調べると沢山ありますが、私が気に入っているのは、「SiteGuard WP Plugin」です。

インストールして、有効化するだけで、手軽にセキュリティ向上が見込めます。

 

以上が基本的なセキュリティ対策です。

 

+アルファとして、他にも紹介したいと思います。

5.WAF(ワフ)を導入する

WAFとは、Web Application Firewallの略で、Webサーバーの前段階に設置して、悪質な攻撃をブロック、不正ログインを防ぐ為のシステムです。

ただ、このWAFは、高価な物が多いため、個人で導入する事はかなりハードルが高いです。

一番手っ取り早いのは、WAFのサービスをオプションで使える共有のレンタルサーバーを選ぶか、そのレンタルサーバーを使っている場合、使用してみると良いでしょう。

ただ、WAFを導入する弊害もあるようで、これまで動作したアプリケーションが動かなくなると言った事も発生するようです。

 

6.htaccessで、任意のファイル、フォルダをIPアドレスの制限をする

htaccessの詳細は、ググって頂きたいのですが、ワードプレスの管理画面のファイル「wp-login.php」を、指定のIPアドレスからじゃないとアクセス出来ない様にします。

htaccesの記述例

<Files "wp-config.php">
order deny,allow
deny from all

<Files "wp-login.php">
order deny,allow
deny from all
allow from 123.45.678.90

これにより、かなりセキュリティの向上が期待出来ます。

 

セキュリティのまとめ

いくつかセキュリティ対策に関する事を説明しましたが、ワードプレス周りのセキュリティをどんなに強固にしても、最終的に、レンタルサーバーの管理画面(コントロールパネル)のIDやパスワードやFTP情報が漏れてしまっては意味がありません。

こちらも併せて、しっかり管理して頂く必要があります。

 

なお、下記の参考サイトは、情報セキュリティに関する事が詳しく記載されています。参考にしてみてください。

情報セキュリティに関する参考ページ

 

以上「ワードプレスで最低限必要な4つのセキュリティ対策」のお話でした。