WordPressのセキュリティ対策

WordPressのセキュリティ対策を行った時のメモ

インストールすべきプラグイン

■WordPress セキュリティプラグイン

プラグイン名:iThemes Security (formerly Better WP Security)

※基本的にはインストールのみで大丈夫です。詳細の設定をしたい人は、他サイトを参照してください(多くの情報がアップされています)

注意
このプラグインは一部設定によっては、管理画面にログイン出来なくなることがありますので、必ずバックアップ(ファイル・SQL)してから作業してください。

■スパム対策

プラグイン名:Akismet

※こちらはデフォルトで入っているので、そのままで良いです。

スパムメールが大量に来るようでしたら「有効化」しましょう。

 

■WordPress のログイン履歴を保存するプラグイン

プラグイン名:Crazy Bone

※基本的にインストールするのみで設定は不要です。ダッシュボードの「ユーザ」>「ログイン履歴」が表示される様になります。

 

■ウィルス感染や悪意のあるコードが設定されていないかをチェックするプラグイン

プラグイン名:AntiVirus

※ダッシュボードの「設定」>「AntiVirus」を選択して設定します。

「マルウェアのテーマテンプレートをチェックする」をチェックして「通知用のメールアドレス」を入力してください。

■ログインページを隠す

プラグイン名:Login rebuilder

※ダッシュボードの「設定」>「ログインページ」を選択し設定します。

「新しいログインファイル」に【任意のログインファイル名】を指定してください。

次に「ステータス」を「稼働中」にしてから「変更を保存」ボタンを押します。

すると以下のURLにアクセスしないとログインできなくなります。

 

http://「あなたのWebサイトURL」/【任意のログインファイル名】

 

その他

■パーミッションの設定

上記でインストールした「iThemes Security」の中でパーミッション設定をチェックできる機能があります。


こちらが全て「OK」となるように設定してください。(上記、図の例では「.htaccess」のパーミッションを「444」に設定しなおす必要があります)

■xmlrpcへのアクセス禁止

WordPressには「xmlrpc.php」を使用してメールで投稿する機能があり、そこを経由してブルートフォースアタックを仕掛けパスワードを盗み取ろうとする方法があります。
そこで、もしメール投稿する必要が無ければ、こちらへのアクセスを禁止してしまいます。

まず考えられるのが「xmlrpc.php」へのアクセスを禁止する方法です。以下の様に「.htaccess」ファイルに記述します。

これでも良いのですが、これだと攻撃を受けたログを拾えなくなります。そこで、ヒポラボは以下の様に「0.0.0.0」へリダイレクトさせています。

これならログにリダイレクトの301が記録されているはずです。

■アップデート

基本的な事ですが、まめにWordpressを更新しましょう。

■不要なテーマやプラグインの削除

不要なテーマやプラグインは有効にしていなくても、思わぬセキュリティホールになる事があります。また動作が重くなる原因になる可能性があります。
できるだけ不要なテーマやプラグインは削除してください。

■サイトのSSL化

サイトをSSL化(https化)させてください。管理画面をSSL経由で操作できる様にしておけば途中でsniffingされる危険性が無くなり、SEO評価も上がる効果もあります。
詳細は別記事「さくらインターネットでWordPressをSSL化する。」で紹介しています。

Print Friendly, PDF & Email