WPマガジン
WP-MAGAZINE  wordpress  wordpressのセキュリティ
1526 views

wordpressのセキュリティ

世界最大のCMSのwordpressのセキュリティについてまとめました。脆弱性対策と不正ログイン対策を行うことで危険性を減らすことが出来ます。
wordpressのセキュリティのイメージ

wordpressはなぜ危険なのか

世界でのシェアが27%となっており、世界で最もシェアを誇るCMSとなっています。 シェアが最大なので脆弱性の情報が多く、また広がりやすいのが理由です。

ですので、適切な対策を行っていきましょう。

wordpressのセキュリティ

大きく分けて以下の2つの対策となります。

  • 脆弱性対策
  • 不正ログイン対策

脆弱性対策

wordpressのバージョンを最新バージョンを使用するようにしましょう。 プラグインを使用する際は、wordpress本体に合わせて更新されているプラグインを使用するようにしましょう。

wordpress本体のバージョンは、外部からでも確認することが出来てしまいます。

バージョン情報を隠蔽。 readme.htmlを削除。

をするなどで、バージョン情報を隠す事はできますが、 大きな効果は見込めないので、しっかりバージョンアップしましょう。

本体より、テーマや拡張機能(プラグイン)の脆弱数が多い プラグインの脆弱で XSSやSQLインジェクションで大半を占めている トラバーサル系の攻撃 ../../wp-config.phpにアクセスしてSQLの情報を盗む

不正ログイン対策

強固なパスワードをしようする ログインページを保護する wp-config.phpのアクセスを禁止する ウェブアプリケーションやワードプレスの脆弱性を防御するソリューションを活用(WAFやIPS) WAF・・・ウェブアプリケーションファイヤーウォールのこと。 Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策。 Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。
  • 強固なパスワードにする。
  • adminを使用しない。
  • ログインページにBasic認証する。
  • 接続元IPアドレスでアクセス制御する。
  • author.phpに対して対策をする。
同じID、パスワードでを使いまわさないのは基本です。 URLを操作し、「サイトドメイン/?author=数値」でIDを簡単に見つけられてしまいます。 author.phpに対して対策として、リダイレクトの設定をする。

ログインページにBasic認証を設定する。 接続元IPアドレスでアクセス制御する。

SiteGuard WP Pluginを使用する

セキュリティに関するプラグインで「SiteGuard WP Plugin」というものがあります。 管理ページとログインページの保護をすることができるプラグインで、無料で使用できます。

以下のような機能があります。

  • ログインページ名の変更が可能
  • 繰り返しログインに失敗している接続元をブロック
  • ログインページに画像認証を設定
  • 二段階認証、ワンタイムパスワードに対応

不正ログイン対策には、とても効果的ですので、ぜひ使用してみてください。

その他対策

  • 未使用のテーマは停止だけではなく削除
  • バックアップを取得
  • 脆弱診断サービス(wp-portal.net)
  • サイトをHTTPS 常時SSL
  • ログイン経路としてSSHやFTPのアクセスにも注意

まとめ

  • 本体を常に更新。マイナーバージョンの自動更新
  • ログインアカウントのパスワードを複雑化
  • ログインページをBasic認証を設定
  • ワードプレスプラグインのSiteGuard WP Pluginを使う
  • author.phpに対して対策
  • バージョン情報を隠蔽、readme.htmlを削除
  • WAF(ウェブアプリケーションファイヤーウォール)を使う
 

こちらの記事もよく読まれています

最新の記事

wordpress
wordpressのアイキャッチ関連の便利なコード一覧
wordpress
記事内・投稿・固定ページでテンプレートファイルを呼び出す方法
wordpress
wordpressの個別のテンプレートの設定
wordpress
wordpressのURLに入るcategoryの対処法
wordpress
カスタムフィールド系プラグインならAdvanced Custom Fields
wordpress
wordpressのセキュリティ
基礎知識
パンくずリストについて
wordpress
パンくずリストを表示するプラグイン Breadcrumb NavXT
wordpress
WordPressの管理画面へのログインページにBasic認証を設定
基礎知識
Basic認証とは

人気の記事

wordpress
wordpressのURLに入るcategoryの対処法
10271views
1
WP-MAGAZINE
WP-MAGAZINE
10072views
2
wordpress
wordpressのアイキャッチ関連の便利なコード一覧
3617views
3
wordpress
WordPressの管理画面へのログインページにBasic認証を設定
3324views
4
お問い合わせ
お問い合わせ
2054views
5