新マニュアル!WordPressで作られたWebサイトをハッキングから守るための16のセキュアな対策
WordPressのセキュリティ被害が増えています
最近、Wordpressで作られたサイトがハッキング被害に遭っているというニュースが多いのをご存知でしょうか。具体的に、下記のような現象を経験している方々は周りにいらっしゃいませんか?
- 大事なコンタクトフォームを壊されていた・・・
- 変な広告がWordPressに登録しているメールアドレスに届く・・・
- よく分からないコードが打ち込まれていた・・・
- 勝手にメニューを消されていた
これだけはまず確認しましょう!セキュリティチェック16項目
とはいえ、まずは何から手をつけたらいいのかわからない、そのように思う方も多いと思います。
何から始めたら良いのかわからない、そんな担当者の方、必見!
まずは下記16項目における自分のサイトの状況をどのようになっているのか、確認しましょう。
初級レベルのステップ1、上級レベルのステップ2に分けています。少々専門的な質問もありますが、Webサイト制作時にセキュリティについて強く要望を出されたお客様でない限り、下記項目が完璧に網羅されているWebサイトは少ないと思います。
ぜひ一度ご確認ください。
ステップ1:
1 | デフォルトの管理者ユーザー(admin)を使っていませんか? | デフォルトの管理者アカウントはadminです。adminをそのまま使用しているとブルート・フォース・アタック(総当たり攻撃)によって総当たりで一致するパスワードを見つけ出されてしまう可能性があります。 |
2 | 強度なパスワードを作成していますか? | 大文字と小文字のアルファベット、数字や! ” ? $ % ^ & ) などの記号を含めた7文字以上の組み合わせにしましょう。辞書に載っているような単語などの推測されやすい文字を使うのはやめましょう。 |
3 | WordPressのバージョン情報を削除していますか? | バージョンごとにより脆弱性が異なり、そこを攻撃される場合があるため、攻撃者に知られないようにします。 |
4 | wp-config.phpファイルへの秘密鍵設定をしていますか? | WordPressの安全性をアップするために、4つのシークレットキーを設定します。 |
5 | 管理画面ログイン時のエラーメッセージ抑制をしていますか? | WordPressは、管理画面へのログインエラーのときにユーザ名が間違っていれば、ユーザ名が違うことを教えてくれます。同様にパスワードが間違っていれば、パスワードが違うと答えてくれます。これは管理者には便利ですが、攻撃者にはクラックのためのヒントを教えているようなものですので、非表示にします。 |
6 | FTPアクセスへの固定IPアドレス制御をしていますか? | 設定したIP以外ではFTPにアクセスできなくなるため、攻撃者の侵入を防ぎます。 |
7 | バックアップをとっていますか? | 攻撃を受ける前の安全なデータのうちに、バックアップを取得します。バックアップしたデータは、不測の事態(攻撃などの被害)が生じた場合に、サイト復旧のために使用します。但し、更新頻度の高いサイトの場合、バックアップは定期的に行なうことをお薦め致します。もし、被害を受ける直前にサイトを更新していた場合、定期的なバックアップを行なっていないと、その更新内容を復旧することはできません。 |
ステップ2:
8 | WordPress本体のアップデートをしていますか? | WordPressを常に最新版に保っておかないと、不正アクセスによって、サイトをのっとられてしまう危険性が高いためです。しかし、Themeによっては最新のバージョンにすると、動作しない機能が出る恐れがあるため、アップデートには十分注意が必要です。 |
9 | プラグインのアップグレードをしていますか? | プラグインを常に最新版に保っておかないと、不正アクセスによって、サイトをのっとられてしまう危険性が高いためです。しかし、pluginによっては最新のバージョンにすると、動作しない機能が出る恐れがあるため、アップデートには十分注意が必要です。 |
10 | DBのテーブル名の接頭辞変更をしていますか? | 初期設定の「wp_」を利用している状態では、悪意のあるユーザーに簡単にWordPressのDBのテーブル名を推測されます。DBを直接攻撃されたときに別名であればクラックされ難くなります。さもなければ、貴社のウェブサイトの脆弱性を悪用され、サイトのデータ改ざん・消去、また、不正アクセスによる情報漏えいを引き起こしやすくなります。 |
11 | ログイン失敗に対する制御を実装していますか? | 設定時間内に設定回数以上誤ったパスワードでログインしようとした場合、ログインを不能にします。 |
12 | wp-adminフォルダへの固定IPアドレス制御をしていますか? | 固定IPの制限をかけることにより、攻撃者の侵入を防ぎます。 |
13 | 管理フォルダへの検索エンジンクロール回避をしていますか? | 検索エンジンのロボットにクロールされると意図せず検索エンジンに登録されてしまいます。そのため、管理関連のディレクトリなど、登録を回避したいディレクトリには制御を行います。 |
14 | ディレクトリのファイル一覧表示の回避をしていますか? | indexファイルが存在してないディレクトリにアクセスすると、サーバーの設定によってはファイル一覧が表示されてしまう場合があります。セキュリティ上重要なファイルが設置されている場合には大変危険ですので、直接アクセスしても一覧表示させないようにします。 |
15 | wp-config.phpファイルのアクセス保護をしていますか? | .htaccessファイル内に、wp-config.php ファイルのアクセス保護の設定を行い、セキュリティを強化します。 |
16 | wp-login.phpファイルへの認証設定をしていますか? | ログインページへ認証の設定を行うことで、セキュリティを強化します。 |