Webサイト制作者必見!WordPressのセキュリティ対策5選 | 千葉で集客ホームページ制作はティーエスフォート
コラム

Webサイト制作者必見!WordPressのセキュリティ対策5選

Webサイト制作者必見!WordPressのセキュリティ対策5選

Webサイトを制作する上でとても便利なツールが代表的CMS(Contents Management System)のWordpressです。
しかし、同時に重要となってくるのがWordpressを使う時のセキュリティ対策です。脆弱性がよく発見されており、攻撃対象となりやすい特徴があります。

この記事では、そんなWordpressを使ってサイトを制作する上でのセキュリティ対策についてご紹介します。

1.管理画面のセキュリティ強化

WordPressのデフォルトの仕様では、管理画面へのログイン画面のURLが“wp-login.php”となっています。

WordPressへの攻撃を試みるボット(bot)は“wp-admin”または”wp-login.php”を探すようにセッティングされていることが多いです。このログイン画面のURLを変更することでURLへのアクセス自体をできないようにしましょう。

攻撃を試みるボットが管理画面へのログイン画面にたどり着いてしまうと、ブルートフォースアタック(総当たり攻撃)を受けてしまう可能性があります。

攻撃を受けた際に、パスワードを複雑で長くするなどしてログインの難易度を高めることができます。

2.停止中のプラグインを削除

プラグインはたとえ停止中であっても存在しているだけで脆弱性をつかれる可能性があります。このことに注意が必要です。

対策として、停止中のプラグインはWordPressの管理画面からできるだけ削除しておくようにしましょう。

3.テーブルのプレフィックスを変更

WordPressはMySQLというデータベースを採用していますが、デフォルトでは、データのテーブルに「wp_」というプレフィックス(接頭辞)が設定されるようになっています。

これがSQLインジェクションにおいてテーブル名の特定に利用され、データベースに対する攻撃に利用される恐れがあります。

利用されないためにも、テーブルのプレフィックスを変更しておきましょう。

4.セキュリティ用プラグインの設置

WordPressのプラグインにはセキュリティ対策ができるものも数多く用意されています。

WordPressを導入したら、始めにセキュリティプラグインをインストールしておきましょう。

下記で、セキュリティ対策に効果的なプラグインをいくつかご紹介します。


SiteGuard WP Plugin

SiteGuard WP Pluginは日本語対応されているセキュリティプラグインで、管理画面とログインページ保護に特化しています。

このプラグインには、下記の機能がついています。

・WordPress管理画面のログインページURLを変更
・ログイン情報の入力に画像認証を追加
・WordPress本体やプラグインのアップデート情報をメールに配信


All In One WP Security & Firewall

WordPressの総合的なセキュリティ対策が行えるプラグインです。ログイン画面のよく知られたURLを変更したり、簡易的なファイアーウォールとして機能したりします。


Akismet

WordPressでユーザーからのコメントを許可する設定にしていた場合や問い合わせフォームを設置していた場合に、スパムコメントをフィルタリングしてくれるプラグインです。

WordPress2.0以降を利用していれば、あらかじめインストールされており、改めてインストールする必要はありません。


WP Security Audit Log

WordPressのログイン履歴や管理画面での操作ログを記録できる、WP Security Audit Logを導入しましょう。

特にログイン履歴に関しては、外部からの不正なパスワードによるログイン失敗履歴も残してくれます。もし不正なログインを許してしまっていても、このプラグインを導入していればログイン履歴から検知することができます。

5.設定ファイルへのアクセスを制限

設定ファイルの不正な更新を防ぐためにもファイルに対するアクセス権限は適切に設定しておきましょう。

設定ファイルを悪意のある第三者に変更されないようにするためにも必要な設定です。

.htaccessのパーミッションは「604」に設定(読み込み可能、ファイルの所有者のみ変更可能)にします。

wp-config.phpのパーミッションは「600」に設定(ファイルの所有者のみ読み込みと変更可能)にします。

まとめ

今回の記事では、Wordpressのセキュリティ対策についてご紹介してきました。

Wordpressはサイト制作において便利な半面、サイバー攻撃に遭遇しやすいCMSであるため、セキュリティ対策は必須であると言えます。

サイト制作する上では、これらのセキュリティ対策を実施した上で公開するようにしましょう。そうしなければ、せっかく制作したウェブサイトが攻撃され、その結果として情報を盗まれたりすると信頼の失墜にもつながります。

関連記事

ページ先頭へ