【WordPress】導入時に私が実施したセキュリティ対策

公開

WordPress導入時、テーマをカスタマイズするよりも前にまず行ったのがセキュリティ対策です。
この記事では、私が実際に行ったセキュリティ対策をご紹介します。

なぜ、セキュリティ対策が必要なのか?

WordPressはオープンソースのブログ/CMSのプラットフォームであり、個人・法人問わず世界中で多くのユーザが利用しています。
利用者が多いという事は、悪意を持った攻撃者により「狙われやすくなる」ということ。
例えば私のようにレンタルサーバ+独自ドメインでサイトを作成する場合、サイトそのものは自衛しなければ誰も守ってはくれません。

自分のPCにウイルス対策を行うのと同じように、管理するサイトへのセキュリティ対策も考慮しておく必要があるわけです。

では、なにを意識してセキュリティを強化すれば良いのか?

導入時、私は以下の点についてセキュリティ対策を行おうと考え、実行しました。

  1. 管理画面の入り口を、初期設定以外のアドレスに変更する(入り口を管理者にしか分からなくする)
  2. 管理画面に画像認証の導入(管理画面のセキュリティ強化)
  3. 筒抜けのユーザ名(ログインユーザ名)を、表向きは全く違うものにする(ログインユーザ名漏えいの防止)
  4. 不正アクセスの検出と遮断が可能な環境を作る
  5. スパムコメント対策

以下、順番に紹介していきます。

Login rebuilder

Login rebuilderは、
WordPressのログイン画面を、初期設定と異なるURLに変更することができるプラグイン。

初期設定は、「http://サイトのURL/WordPressのディレクトリ/wp-login.php」なわけですが、
こんな事はWordPressを知っていれば誰でも想像できるわけで、
つまり攻撃者からすれば入り口までは簡単に行けてしまう、ということ。

そのため、このプラグインを使って「ログイン画面の場所を変えてしまう」というわけ。

使い方についてはこちらの記事で紹介しています。

【WordPress】ログイン画面のURLを変更するプラグインLogin rebuilderでセキュリティを高める

SiteGuard WP Plugin

Login rebuilderで入り口を変えても、もしかすると見つけられてしまうかもしれませんし、
何らかのミスで漏れてしまう恐れもあります。
そこで、SiteGuard WP Pluginを導入。

このプラグイン自体はサイトセキュリティの様々な機能を持っているのですが、
私はそのうちの「画像認証」と「XMLRPC無効」の機能を使用しています。

使い方についてはこちらの記事で紹介しています。

【WordPress】SiteGuard WP Pluginで画像認証とXMLRPC無効化を行う

Edit Author Slug

さて、自分のWordPressのURLの後ろに、「/?author=1」と付けてアクセスしてみて下さい。
アクセスしたURLを見てみると、ログインユーザ名が表示されていませんか?

この記述は、「author(著者)=1(1番目の)」とあるように、第1ユーザを探る記述。
通常、最初に作ったユーザが管理者権限を持っていることが多く、このユーザ名が知られるという事は、
管理者権限を持つアカウントがバレる事に等しいとも言える状態なんですね。

何も対策をしていない状態だと、実は筒抜けなんです。

Edit Author Slugは、
この表示を「表向きは全く違う文字列に変更する」ことができるプラグインです。

例えばauthor=1が本当は/author/hogehoge/だったとした場合に、このプラグインを使う事で
/author/fugafuga/に変更することができるわけです。

あくまでも「表向き」の表記を変更するだけなので、ログインユーザ名が変わるわけではありませんので、
設定さえしておけばログインユーザ名の漏えいを防げるわけです。

Simple Login LockdownとCrazy Bone

連続不正アクセスがあった場合に、そのIPアドレスからのアクセスを遮断するプラグインSimple Login Lockdownと、
ログインログを記録するプラグインCrazy Boneを組み合わせて使用しています。

Simple Login Lockdownでは、例えば5回ログインに失敗したら60分間アクセス禁止にする、といった設定が可能になりますし、
Crazy Boneは日時、ステータス、IPアドレス、ユーザーエージェント、エラー内容が記録されていきますので、日々のアクセス管理に役立ちます。

Akismet

スパムコメント対策プラグインの代表格ともいえるAkismetはもちろん導入。
API KEYを取得するためにユーザ登録が必要ですが、スパムコメントを弾いて蓄積してくれます。
スパムコメントの投稿者IPアドレスや国も表示されるので、アクセス拒否を行う場合の参考にもなります。

さいごに

大体こんな感じで、私はWordPress導入時にセキュリティ対策を行っています。

セキュリティ対策は予防線が大切で、課題を潰すよりも根本を変えてしまう方が後々楽ですので、
セキュリティ対策がまだの方は参考にしてみて下さい。

特に、不正アクセス対策は最初にやっておかないと後々設定をいじるのは大変ですし、
万一のエラーを想定しても初期のうちにやっておいた方が良いでしょうね。

<スポンサードリンク>

宜しければこちらもどうぞ

コメントはお気軽にどうぞ(承認制)

メールアドレスは公開されませんのでご安心ください。
また、* が付いている欄は必須項目となりますので、必ずご記入をお願いします。

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。

管理人[AKI]

500円硬貨と同じ年に岡山県で生まれる。
まだWindowsが98の時代に、制作関係の仕事に就きたいと思い勉強のため上阪。
主にWebディレクターを生業にしながら細々と生きています。
写真とゲームが趣味ですが、今は仕事と子育てが優先。

カテゴリー一覧