初心者でもこれだけはやっておきたい。WordPressのセキュリティ強化対策4つ。
2020/03/15
WordPressは機能性が高くホームページの開設・更新が容易であることから多くの企業などが利用しているCMS(content management system)ですが、利用者が多いということからハッキングなどサイバー攻撃の対象にされやすいというデメリットがあります。ハッキングなどからサイトを守るためにはセキュリティ強化のためにどのようなことを行えばよいのでしょうか。
プログラム最新化
WordPressはプログラムを公開している「オープンソースソフトウェア」です。プログラムがどのように動作しているのかをチェックする人が多いため、バグや脆弱性などが発見されやすいなどメリットがある一方、悪意のある人がバグや脆弱性を発見した場合、そこをついて攻撃してくる可能性があります。
脆弱性などが見つかった場合、WordPressはバージョンアップしてセキュリティを強化されますが、更新などを行わずにいるとセキュリティは強化されず、攻撃の隙を作ってしまいます。WordPress本体はもちろん、プラグイン、テーマなども常に最新化するようにしましょう。
管理者IDとパスワードを強化
初期設定のままの場合、WordPressのログインURLは、「(サイトURL)/wp-admin」や「(サイトURL)/wp-login」となっているため、誰でも容易にログイン画面にアクセスすることができます。もし、パスワードが簡単なものや推測されやすいものであれば簡単にログインされることになります。
管理者IDとパスワードは単純なものにせず、大文字と小文字、数字などを混ぜた複雑なものに設定しましょう。
プラグインで管理画面を強化
WordPressにはセキュリティ対策のプラグインが数多く存在しています。プラグインを利用することでログイン画面のURLを変更したり、ログイン画面に画像認証を追加したり、一定回数ログインに失敗するとその接続元からログインを試行できなくしたりすることができます。
なかでも、画像認証はプログラムでWebサイトを巡回する「Webスクレイピング」によるハッキングに対して有効なので、導入を検討するとよいでしょう。
外部からのアクセスを制限
WordPressのプログラムには、WordPressの動作にかかわる各種設定や、データベースのID、パスワードなどが記載されている「wp-config.php」というファイルがあります。このファイルを見られると危険なので、外部からアクセスでいないように設定しておきましょう。
外部からのアクセスを制限する方法は、FTPソフトで設定できる「ファイルの属性(パーミッション)」を「400」にする方法と、wp-config.phpと同じディレクトリにある「.htaccess」というファイルに以下の文字列を追加する方法の二通りがあります。
●<files wp-config.php>
●order allow,deny
●deny from all
●</files>
パーミッションの設定と、.htaccessの設定両方を行っておけばセキュリティが高くなりますが、共用サーバーの場合、パーミッションを400にすることができないことがあります。
また、.htaccessファイルにも外部からアクセスできないよう設定しておくとさらに安全です。
まとめ
WordPressは攻撃対象にされやすく、初期設定のままではセキュリティが脆弱です。プラグイン導入や設定変更でセキュリティ強化対策を行い、サイバー攻撃からホームページやデータを守りましょう。