様々な拡張機能があり簡単にWEBサイトを更新できるCMSであるWordPressは世界中で利用されています。
導入も簡単で多くの人に利用さ入れている反面、不正アクセスなどの脆弱性を突いた攻撃を受けやすいのも事実です。
攻撃を受けやすからWordPressは危険?と思う方もいらっしゃるかと思います。
だた、普段からのメンテナンスや簡単なセキュリティ対策をするだけでも飛躍的に攻撃を防ぐことができます。
今回は比較的簡単なWordPressのセキュリティ対策をご紹介いたします。
目次
WordPressがセキュリティに弱いと言われる訳
WordPressは世界中で利用するユーザーが多いため攻撃の対象になりやすくなってしまうのが事実です。
例えばWordPressやそのプラグインにセキュリティホールがあれば、利用している全体対象者が攻撃目標になってしまいます。
攻撃する側は対象者が多いほど効率よくアタックをかける事ができるのでWordPressが狙われる原因になってしまいます。
利用者が多い分攻撃対象になりやすいですが、WordPressに限らず他のCMSでもか必ず不正アクセスなどの攻撃はあります。
WordPressの場合は世界中で幅広く使われているオープンソースのためセキュリティに問題があれば比較的早く修正パッチが開発されるので、あまり利用されていない開発スピードの遅いCMSを利用するより、むしろ安全とも言えます。
WordPressとプラグインを最新版にする
WordPressとプラグインは常に最新版にアップデートをするようにしましょう。
WordPressとプラグインのセキュリティホールは日々報告されています。問題がある度に修正されたパッチが公開しています。
セキュリティに問題のあるWordPressとプラグインを使い続けるのは攻撃対象となり危険なため常に最新版にアップデートをすることをお勧めします。
アップデートはWordPressの管理画面に入るとアップデートがある場合は管理画面に通知されるようになっています。
SiteGurad WP Pluginを使う
WordPressの不正アクセスのほとんどはログイン画面を狙って行われます。
「SiteGurad WP Plugin」を使うことによって簡単にログイン画面への攻撃を防ぐことができます。
プラグインのインスト―ル方法は、他の記事で紹介しているのでそちらを参照してください。
ログイン画面のURLを変更
デフォルトの場合、WordPressの管理画面にアクセスする場合、URLの後ろに「wp-login」「wp-adamin」になっています。
例:https://example.com/wp-login.php
攻撃する側は、そのことを知っているので、ログインURLを狙って攻撃を行います。
そのためログインURLを変更することによって不正アクセスのリスクを軽減することができます。
下記のように「wp-login.php」部分を不規則な文字列に変更することで攻撃者にログインURLを分からなくすることが出来ます。
「https://example.com/wp-login.php」を「https://example.com/Ys2T69P32」
ログインの失敗回数を制限
攻撃者はログイン画面で自動でパスワードを生成して何度もログインを実行してきます。
短時間で何度もアクセスをしてくるのでサーバに負荷がかかる為、画面表示にも時間がかかるなど別の問題も発生します。
そのような攻撃を防ぐため、一定以上のログインに失敗すると一定時間ログイン画面にアクセスできないようにします。
こうすることによって、攻撃回数を減らすことが出来、サーバーの負荷も減らすことが出来ます。
「SiteGurad WP Plugin」のプラグインを有効化するだけで「5秒間に3回連続でログインに失敗すると1分ロックされる」機能が実行されます。
ログインに画像認証を追加
不正アクセスログイン攻撃は、自動プログラムで行う場合がほとんどです。
そため画像認証を入れることによって自動では判別できないようにします。
こちらも「SiteGurad WP Plugin」のプラグインを有効化するだけでログイン画面に画像認証を設置することが出来ます。
ログイン画面のアクセスをIPアドレスで制限
ログイン画面にアクセスをIPで限定することで、不特定多数のログイン画面へのアクセスを防ぎます。
ただこの方法になると外出時やリモートでの作業が出来なくなるので、チームでサイト運営する利用する場合は事前に確認が必要になります。
設定方法は.htaccessへIP制限の設定を記述してサーバーにアップすることで設定できます。
< Files wp-login.php >
order deny,allow
deny from all
allow from [許可するIP]
</Files >
不要なプラグインを削除
WordPressでサイトを制作していると、様々なプラグインを利用することになります。
中にはプラグインの機能を試すためテストでインストールしたものや、別のプラグインに乗り換えるなどして使用していないプラグインがあると利用しているプラグインのセキュリティホールを狙って攻撃される場合があります。
使用していないプラグインがあれば削除するようにしましょう。
まとめ
WordPressを利用は利便性を高めてくれますが、セキュリティ面のリスクがあります。
WordPressはこまめなアップデートとログインの不正アクセスを防ぐことでセキュリティは飛躍的に高まります。
今回紹介したセキュリティ方法は最低限の方法ですがWordPressでサイト運営をする場合はぜひ試してみて下さい。
関連の記事
- 衣川知秀
- TREVOWP