以下、Wordpressを扱う上で一般レベル(最低限)として対応した方が良い項目ですので、対応することをお勧めします。その上で、必要に応じてセキュリティ強化対応を別途追加してください。


(1)WordPress本体やプラグインのバージョン最新化

 脆弱性(セキュリティリスク)が見つかると、WordPressや各プラグインが脆弱性の対応をした新バージョンをリリースします。最新バージョンがリリースされたら、すぐに自サイトで利用しているバージョンを更新するようにします。

(2)アカウント(ユーザ名、パスワード)の強度

 ブルートフォース攻撃により、管理画面のユーザIDやパスワードが見破られないように気をつける必要があります。特に、「admin」なんていうユーザ名がもし設定されていたら、モロバレですので変更(削除)対応します。

 なお、ユーザIDやパスワードは極力ランダムで長めの文字列を設定することが推奨されます。

CHECK:ブルートフォース攻撃とは

 「総当たり攻撃」等とも言われますが、暗号やパスワードの解読をすることを目的とした攻撃です。
いわゆる「数撃ちゃ当たる」という考えで、解読の為に文字列のパターンをいくつも生成し、合致するまで(鍵が解けるまで)繰り返されます。

CHECK:ユーザ名の変更方法

 パスワードは管理画面から簡単に変更できますが、ユーザ名はそうもいきません。別の管理者アカウントを新規で作成し、元のアカウントを削除してしまうか、もしくは、プラグインを利用することでもユーザ名を変更することができます。

【参考URL】ワードプレスのユーザー名変更はDB操作なしでプラグインで簡単にできる(https://koba-life.com/username-change-plugin


(3)ユーザ表示名変更

 デフォルトでは、「ユーザ名」と「ユーザ表示名」が一緒になっています。つまり、記事を作成した際、画面上に「投稿者」として思いっきり、ユーザ名が表示されてしまいます。

 セキュリティ上問題がありますので、管理画面から、「ユーザ表示名」を別のものに変更します。

(4)投稿者アーカイブ無効化

 詳細は割愛しますが、「投稿者アーカイブ」という存在のおかげで、ユーザ名が簡単に攻撃者にバレてしまいます。それを防ぐ為、投稿者アーカイブを開こうとした際に、404エラー(「ページが表示されません」というエラー)を出すように設定します。

【参考URL】投稿者アーカイブ無効化方法

・投稿者アーカイブを無効化してWordPressのユーザ名を隠す方法(https://blog.webcontent.jp/entry/no-author-archive


(5)常時SSL化

 SSL(Secure Sockets Layer)化とは、通信そのものを暗号化し、通信の盗聴を防ぐ仕組みです。

 以前は個人情報(クレジット情報等)を入力する画面で多く利用されていましたが、現在は、個人情報云々関係なく、すべてのページでSSL化(常時SSL化)を実施することが一般的となりつつあります。

 また、SEO対策としても、SSL化対応がされていることがポイントの1つとなるそうです。


※SSL化対応されているページは、「https://~」からURLが始まります(保護された通信)。

 レンタルサーバにさくらインターネットを採用した利用の一つが、この常時SSL化対応が無料でできることです。さくらインターネットで共有SSL(無料)を有効化し、WordPressプラグインで常時SSL化を実行します。

【参考URL】常時SSL化について

・常時SSL化とは(https://ssl.sakura.ad.jp/column/always-on-ssl/
・【共有SSL】設定方法(https://help.sakura.ad.jp/hc/ja/articles/206054862–%E5%85%B1%E6%9C%89SSL-%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95
・【WordPress】常時SSL化プラグインの使い方(https://help.sakura.ad.jp/hc/ja/articles/115000047641–WordPress-%E5%B8%B8%E6%99%82SSL%E5%8C%96%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9


(6)パーミッション変更

 パーミッションとは、そのファイルにアクセスできる権限のことです。

そのファイルを操作できるのは誰か?操作できる種別は読み取り専用か?書き込みもできるのか?・・・といった権限です。

 WordPressにおいては、特に「wp-config.php」と「.htaccess」というファイルがセキュリティ上で重要なファイルです。その為、「wp-config.php」、「.htaccess」について、パーミッション(権限)を確認し必要に応じて変更します。

  wp-config.php:400
  .htaccess:604

 上記の通り、パーミッションの変更を実施します。

【参考URL】パーミッション設定変更

・WordPressで理想的なパーミッションの設定(https://www.webernote.net/wordpress/wp-permission.html
・ファイルのパーミッションを変更するには(FFFTP,FileZilla,WinSCP,NextFTP,Dreamweaver)(http://www.g-serve.net/usermanual/chmod.html


(7).htaccess変更

 wp-config.phpに外部からアクセスできないように変更します。

【参考URL】.htaccess変更内容

・最低限これだけはしておこう!WordPressのセキュリティを強化する5つの方法。(http://design-plus1.com/tcd-w/2015/09/security.html


(8)管理者ページURL変更

 WordPressは初期のまま利用すると管理者ページのURL(wp-login.php)が丸分かりです。すぐに攻撃できます。その為、簡単に管理者ページを特定されないようにURLを変更します。

 その際に利用できるプラグインが「SiteGuard WP Plugin」です。
このプラグインを利用することで、管理者ページのURLを任意に変更可能です。

<管理者URL変更後>

 その他にも、管理者ページのセキュリティ強化に効果的な機能が揃っていますので、おすすめです。

【参考URL】セキュリティ強化プラグイン

・SiteGuard WP Plugin(https://www.jp-secure.com/siteguard_wp_plugin/


(9)管理者ページ画像認証

 画面に表示された画像を元にログイン情報を入力する「画像認証」を導入することは、ブルートフォース攻撃に対して効果的です。

前述した「SiteGuard WP Plugin」にて画像認証を利用することが可能です。
しかも、日本語を利用した画像認証という点がいいですね。

<平仮名の画像認証>

(10)バックアップ取得

 基本的なお話しですが、重要です。万が一、攻撃者に侵入されコンテンツが破壊されたときに備え、ファイルやデータベースのバックアップはこまめに取得するようにします。

(11)接続元IP制限

 接続元IP制限とは、管理者ページ(wp-login.php)へアクセスできるIPアドレスを制限してセキュリティを強化するというものです。

 結論として、今回構築するサイト(コンテンツ)に対しては、そこまでのセキュリティレベルの必要性を感じず現状は設定していません

 ただ、固定IPアドレスを契約しているのであれば、さらにセキュリティを強化するという点で設定しても良いかと思いますが、いちいち設定しなければ自分の家からでしか管理者ページにアクセスできない等のデメリットが発生します。

https://www.kirocloak.com/wp-content/uploads/2018/01/web_site-ad_img002.jpghttps://www.kirocloak.com/wp-content/uploads/2018/01/web_site-ad_img002-150x150.jpgKIROcloak副収入手順・方法・説明WordPress,ブログ,副収入 以下、Wordpressを扱う上で一般レベル(最低限)として対応した方が良い項目ですので、対応することをお勧めします。その上で、必要に応じてセキュリティ強化対応を別途追加してください。 (adsbygoogle = window.adsbygoogle ||  以前は個人情報(クレジット情報等)を入力する画面で多く利用されていましたが、現在は、個人情報云々関係なく、すべてのページでSSL化(常時SSL化)を実施することが一般的となりつつあります。  また、SEO対策としても、SSL化対応がされていることがポイントの1つとなるそうです。 ※SSL化対応されているページは、「https://~」からURLが始まります(保護された通信)。  レンタルサーバにさくらインターネットを採用した利用の一つが、この常時SSL化対応が無料でできることです。さくらインターネットで共有SSL(無料)を有効化し、Wordpressプラグインで常時SSL化を実行します。 【参考URL】常時SSL化について ・常時SSL化とは(https://ssl.sakura.ad.jp/column/always-on-ssl/) ・【共有SSL】設定方法(https://help.sakura.ad.jp/hc/ja/articles/206054862–%E5%85%B1%E6%9C%89SSL-%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95) ・【WordPress】常時SSL化プラグインの使い方(https://help.sakura.ad.jp/hc/ja/articles/115000047641–WordPress-%E5%B8%B8%E6%99%82SSL%E5%8C%96%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9) (6)パーミッション変更  パーミッションとは、そのファイルにアクセスできる権限のことです。 そのファイルを操作できるのは誰か?操作できる種別は読み取り専用か?書き込みもできるのか?・・・といった権限です。  WordPressにおいては、特に「wp-config.php」と「.htaccess」というファイルがセキュリティ上で重要なファイルです。その為、「wp-config.php」、「.htaccess」について、パーミッション(権限)を確認し必要に応じて変更します。   wp-config.php:400   .htaccess:604  上記の通り、パーミッションの変更を実施します。 【参考URL】パーミッション設定変更 ・WordPressで理想的なパーミッションの設定(https://www.webernote.net/wordpress/wp-permission.html) ・ファイルのパーミッションを変更するには(FFFTP,FileZilla,WinSCP,NextFTP,Dreamweaver)(http://www.g-serve.net/usermanual/chmod.html) (7).htaccess変更  wp-config.phpに外部からアクセスできないように変更します。 【参考URL】.htaccess変更内容 ・最低限これだけはしておこう!WordPressのセキュリティを強化する5つの方法。(http://design-plus1.com/tcd-w/2015/09/security.html) (8)管理者ページURL変更  その他にも、管理者ページのセキュリティ強化に効果的な機能が揃っていますので、おすすめです。 【参考URL】セキュリティ強化プラグイン ・SiteGuard WP Plugin(https://www.jp-secure.com/siteguard_wp_plugin/) (9)管理者ページ画像認証 (10)バックアップ取得  基本的なお話しですが、重要です。万が一、攻撃者に侵入されコンテンツが破壊されたときに備え、ファイルやデータベースのバックアップはこまめに取得するようにします。 (11)接続元IP制限  接続元IP制限とは、管理者ページ(wp-login.php)へアクセスできるIPアドレスを制限してセキュリティを強化するというものです。  結論として、今回構築するサイト(コンテンツ)に対しては、そこまでのセキュリティレベルの必要性を感じず現状は設定していません。  ただ、固定IPアドレスを契約しているのであれば、さらにセキュリティを強化するという点で設定しても良いかと思いますが、いちいち設定しなければ自分の家からでしか管理者ページにアクセスできない等のデメリットが発生します。日々の選択と結果のご紹介。
次のページを読む >>
1 2 3