公開日:2016.10.28
更新日:
あなたのサイトは大丈夫?WordPressのセキリティ対策!!
この記事の目次(クリックで項目へジャンプします)
今回はWordpressのセキュリティ対策についてです。
この仕事を始めたばかりの頃、ワードプレスのパスワードを「1234」。。。とまではいきませんが、なんともテキトーな設定で納品しかけて、先輩に怒られました。
今回ご紹介するワードプレスの最低限のセキュリティ対策がこちらになります。
2. 安全なプラグインの選別
3. 「wp-config.php」へのアクセスの制限
4. データベーステーブルのプレフィックスを、デフォルト値「wp_」から変更する
5. 難解なパスワードにする
これなら数十分でできますし、簡単にできます。それではひとつひとつ確認してみましょう。
1. WordPress本体の更新とプラグインの更新
コンピュータウィルスがMacよりもユーザーの多いWindowsに多いように、いまや世界的に広く使われているCMSであるWordpressは、多くの悪意あるハッカーから狙われやすく、脆弱性も見つけられやすいです。脆弱性が見つけられた場合Wordpressはその度にアップデートしています。なので「この前更新したのに!」と思っても、こまめに更新しましょう。同様にインストールされているプラグインも更新されていくので、こちらも更新しましょう。
ただし、「Wordpressを更新したら、プラグインが動かなくなった!」または「プラグインを更新したら不具合を起きた!」ということもありえます。レビューなどを見て、更新する前に不具合が報告されていないか確認しましょう。またバックアップも忘れずに。
2. 安全なプラグインの選別
先程の内容とかぶりますが、何年も前に更新が止まっているプラグインの使用は控えたほうが良いでしょう。セキュリティの脆弱性や、最新のWordpressに対応していない可能性があります。
3. .「wp-config.php」へのアクセスの制限
「wp-config.php」はデータベースへ接続するためのアカウント情報が記載されている重要なファイルです。このファイルが外部に漏れてしまうとデータベースの改ざん等のリスクがあります。ですので、「wp−config.php」に外部からアクセスができないよう以下のように設定する必要があります。
「wp-config.php」と同じ階層の「.htaccess」ファイルに(無ければ作成してください)に下記を入力します。
<files wp-config.php>
order allow,deny
deny from all
</files>
また、「wp-config.php」のパーミッションも「400」にして、管理者のみ「読み取り」権限を付与されるようにしましょう。
4. データベーステーブルのプレフィックスを、デフォルト値「wp_」から変更する
ワードプレスのデータベースのプレフィックスをデフォルトのままにしておくと、テーブル名が特定されやすくハッキングが容易になってしまうので、独自のプレフィックスに設定しておく必要があります。
wordpressインストール時に出てくるフォームに「テーブル接頭辞」の欄がありますので、そこで設定します。ただし、インストールしたあとに変更するとなると少し手間がかかります。
以下のページが参考になりますので、そちらを参照してください。
WordPressのプレフィックスを変更する時の手順 | sand a lot Web & Music Create [札幌]
5. 難解なパスワードにする
パスワードにまさか「1234」「abcd」なんて簡単な文字列を使用するはずが無い。なのであえて「1234」を設定する! というのはもちろんよろしく無いです。推測され辛い、英数字をまぜた高度なパスワードを設定しましょう。
考えるのが難しい場合、パスワードジェネレータを使うことをお勧めします。
安全でセキュアなパスワードを作成 – パスワードジェネレータ | ノートン ID セーフ
いかがでしたでしょうか。以上がWordpressのセキュリティの初歩となっています。
簡単にできますので、自分のワードプレスサイトの設定がどうなっているか確認してみましょう。