最低限これだけはしておこう!WordPressのセキュリティを強化する5つの方法。

2015

9.27

sparkring

WordPressはオープンソースであるため、無料で使用でき、プラグインも豊富なので、世界中で最も利用されているCMSの1つです。ただ、その反面、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的になりやすい、といった特徴もあります。WordPressではセキュリティを非常に重要なものとして捉えているそうですが、それでも完璧ではありません。

そこで今回は、簡単にできるセキュリティ対策の中から、プラグインを導入せずにできるものをご紹介します。
それは、プラグインを導入するメリットは多くあるのですが、以下のようなデメリットもあるためです。
●プラグインを利用することでメモリ領域を使用するため、サイトの動作が遅くなる可能性がある。
●プラグインが原因で、予期せぬ動作を引き起こす場合がある。
●プラグイン自体に脆弱性が存在する可能性がある。

では、順番に解説していきます。

WordPressやプラグインのバージョンを最新にしておく

WordPressは、オープンソースで最も有名なCMSです。
そのため、先に述べたように、ハッカーのターゲットになりやすく、脆弱性も発見されやすいのです。

脆弱性が発見された場合、Wordpressは、その都度バージョンアップをして対策をしています。最新バージョンは(既知の)脆弱性がなく、逆にバージョンが古いほど、脆弱性は多くなります。
基本的な事ですが、非常に重要なので、できるだけ常に最新版にしておくことをおすすめします。

使用していないプラグインは削除する

インストールしているだけで使っていないプラグインや、一度は使用したが、現在は使わなくなっているプラグインは、「停止」にするだけではなく、「削除」するようにしましょう。なぜなら、「削除」しておかないと、プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。使わないプラグインは ”完全に削除” することが大切です。

デフォルトのユーザ名「admin」は使わない

WordPressをインストールして、デフォルトのままだと「admin」というユーザーアカウントが存在します。この「admin」アカウントを、残しておくと非常に危険です。なぜなら、ハッカーから「ブルートフォースアタック」を受けた場合、「パスワードのみ特定すれば良い」ので、不正ログインのハードルがかなり下がることになります。実際に、Wordpressへの「ブルートフォースアタック」は、ほとんどがユーザ名「admin」として、不正ログイン試行されているようです。そのため、「admin」アカウントは必ず削除しておきましょう。

ユーザ名「admin」を削除する方法

  1. WordPressにログインする
  2. 別の管理者アカウントを作成する
  3. ログアウトする
  4. 作成した別の管理者アカウントでログインする
  5. 「admin」アカウントを削除する

    6. ※削除するときは、「すべての投稿とリンクを次のユーザーに割り当てる」を選択しないと、「admin」ユーザーで投稿した記事が消えてしまいますのでご注意ください。

こちらの記事も参考ください。
WordPressのユーザー名(admin)を変更・削除する方法

wp-config.phpにアクセスさせないようにする

データベースのアカウント情報が記載されている「wp-config.php」のファイルは、Wordpressを利用する上で、最も重要で、最もセキュリティレベルを高く設定しなければいけないファイルです。
このファイルが、ハッカーの手に渡ってしまったら、データベースが直に操作されてしまう危険性があります。そのため、外部からのアクセスを不可に設定し、パーミッションも厳しく設定する必要があります。

手順

「wp-config.php」と同じ階層の「.htaccess」ファイルに、下記を入力してください。
※「.htaccess」ファイルが無い場合はファイルを作成してください。

<files wp-config.php>
order allow,deny
deny from all
</files>

これで、外部からのアクセスは不可能になります。

次に、パーミッションですが、「wp-config.php」のパーミッションは「400」にしておく事を推奨します。これで、管理者のみ「読み取り」権限を付与するように設定します。

データベーステーブルのプレフィックスを、デフォルト値から変更する

WordPressをインストール後、デフォルトのままだと、全てのテーブルには「wp_」というプレフィックスが設定されています。
ですが、このままだと「テーブル名」が特定されてしまうので、データベースに対してのハッキングが容易になってしまいます。そのため、「テーブル名」を特定されにくくするために、プレフィックスをオリジナルに設定する必要があります。

詳しくはこちらの記事を参考ください。
プレフィックスの変更方法

まとめ

いかがでしたでしょうか?
他にも、様々な対策方法があり、あげるとキリが有りませんが、どんなサイトでも最低限この5つは行っておきましょう。
すべて行っても10分程度の作業ですが、格段にセキュリティが向上します。

ただし、Webサイトを公開している場合、ハッキングを100%防ぐことは不可能です。ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。そのため、セキュリティ対策と同時に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。

バックアップすべきなのは、下記3つになります。

  • WordPressのフォルダ・ファイル一式
  • WordPressで利用しているデータベース
  • WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」

    • セキュリティ対策とバックアップをしておくことで、リスクを最小限に抑えたサイト運営をしていきましょう。

    • このエントリーをはてなブックマークに追加

関連記事

Wordpress使い方大全集

過去アーカイブ