WordPressのセキュリティ対策

こんにちは。なりです。
今回はWordpressのセキュリティ対策について書いていきます。
私が働いている会社の上司から教えてもらった内容です。いつもいろんなことを教えてもらってます!本当にありがたいです(^ ^)
忘れてもいつでも思い出せるように、ブログに残しておきます!

設定すること一覧

以下に設定することを一覧にしています。
さらに、なぜその設定をするのかというのも少し調べたので、補足情報として書いておきます。
まだ調べきれてないところもあるので…そこはご勘弁を…調べたら追加していきます!

WordPress自体

  • ディスカッションの設定

iThemes Security (プラグイン)

  • 管理画面ログインURLを変更
  • システムの微調整を行う
  • XML RPCを無効化
  • 404のアクセス数検出の設定

設定スタート!

バックアップをとっておく

何かあったときのために、DBのバックアップをとっておいた方がいいです。バックアップの取り方はいろいろありますが、なんでもいいです。
dumpコマンドでもいいですし、phpMyAdminでも、サーバの管理パネルから取ってもいいです。

WordPress自体

ディスカッションの設定

WordPressの設定画面から、ディスカッションの設定を変更します。
以下のようにチェック項目にチェックしていきます。

Wordpressのディスカッション設定の画面

【補足】なぜ?コメントの表示条件を設定するか?

誰かがブログにコメントをくれたときに、手動で承認しないと表示されないようにする設定です。
コメントにはどんな内容が書き込まれるかわからないので、確認してから表示した方がいいです。

iThemes Security (プラグイン)

上司からおすすめしてもらったプラグインが「iThemes Security」です。
セキュリティ設定をまとめてしてくれます。詳しく知りたい方は下のサイトを見てみてください。

iThemes Securityのドキュメントはこちら

管理画面ログインURLを変更

管理画面ログインURLを変更します。
iThemes Security の管理画面を開きます。右上の「高度」を選択し、「バックエンドの非表示」を選びます。

iThemes Securityのトップ画面


「バックエンドの非表示」の画面が開いたら、「ログインのスラッグ」にログインURLを指定します。
指定したURLが管理画面のログインURLになるので、ちゃんとメモを取っておきましょう。

【補足】なぜ?管理画面ログインURLを変更するか?

デフォルトのWordpressログイン画面URLは「https:// ドメイン /wp-login.php」となっています。Wordpressのインストール場所にもよりますけどね。
そのままだと攻撃する人にログインURLがバレているので、ユーザ名とパスワードを知られてしまうと、ログインされてしまいます。
しかし、ログインURLを変更していると、ログインURLを探すという一手間が加わるので、セキュリティが高まります。

システムの微調整を行う

システムの微調整を行います。
今度は右上の「推奨」を選択し、「システムの微調整」を選びます。
設定方法は該当部分にチェックを入れるとOKです!チェックを入れる項目は以下の通りです。

設定方法は該当部分にチェックを入れるとOKです!
チェックを入れる項目は以下の通りです。

  • システムファイルの保護
  • ディレクトリの参照を無効
  • リクエストメソッドのフィルタ
  • アップロードでPHPを無効

XML RPCを無効化

続いて「XML RPC」を無効化します。
管理画面の「Wordpressの微調整」を選択します。ちょうど真ん中くらいにある項目を、「XML RPCを無効化(推奨)」に変更します。


【補足】そもそもXML-RPCって何??

xmlrpc.phpというファイルがWordpress内にあります。このファイルはWordpressのアプリに関係したものです。(Wordpressの公式アプリがあって、ケータイから更新とかできます。)
しかし、このxmlrpc.phpファイルは脆弱性があり、不正ログインなどの攻撃対象になりやすいファイルみたいです。なので、そのファイルを無効化してセキュリティリスクを避けるようした方がいいですね!

404のアクセス数検出の設定

最後の設定です。「404の検出」を有効化してください。詳細設定は「構成の設定」からです。


これで設定は終わりです。
他にも、追加で設定をした方がいいものがあれば、追記していきたいと思います。
最後にWordpressのセキュリティ設定を調べる中で気になったことがあったので、それを書いて終わりたいと思います。

ユーザ名ってすぐバレる!??

WordPressのユーザー名は、ログインのときに必要なとても大切な情報です。そんなユーザー名がバレてるかもしれないというお話です。

URLに「サイトのドメイン/?author=1」と入力するとユーザー名が表示される

URLに「サイトのドメイン/?author=1」と入力すると、ユーザー名が含まれたURLにリダイレクトされます。そこでユーザー名がバレてしまうのです。
ちなみに「author=1」というのは、ユーザーID1のユーザーです。

それを解決するために、「Edit Author Slug」というプラグインをインストールするといいみたいです。
インストール方法や設定方法はこちらのブログに詳しく書いてあります。
Edit Author Slugプラグインの使い方

おわりに

セキュリティの世界は奥が深そうですね。少しづつ調べて、この記事をアップデートしていきたいと思います。

では、読んでいただきありがとうございました。

参考サイト