「WordPressのセキュリティ対策」の版間の差分
(→ログインのログの取得) |
|||
行44: | 行44: | ||
* どのユーザ | * どのユーザ | ||
でログイン試行をしているか、といった情報が取得できます。 | でログイン試行をしているか、といった情報が取得できます。 | ||
+ | |||
+ | プラグインを導入すると管理画面のメニューのユーザーに「ログイン履歴」が追加されます。 | ||
+ | |||
=== 脆弱性攻撃からの防御 === | === 脆弱性攻撃からの防御 === | ||
[[XSS]], [[SQL Injection]] など、よくある攻撃からは、 [[Webアプリケーションファイアウォール]] (WAF) を利用するのが良いでしょう。 もし、利用しているレンタルサーバで WAF が提供されているなら、有効にしてみるのも良いでしょう。 | [[XSS]], [[SQL Injection]] など、よくある攻撃からは、 [[Webアプリケーションファイアウォール]] (WAF) を利用するのが良いでしょう。 もし、利用しているレンタルサーバで WAF が提供されているなら、有効にしてみるのも良いでしょう。 |
2016年1月3日 (日) 20:02時点における最新版
WordPressは、オープンソースの人気のCMS(コンテンツマネジメントシステム)です。よく使われいて、かつ、脆弱性がたくさん見つかることもあり、攻撃者の標的となりやすい側面もあります。
読み方
- WordPress
目次
概要
運営している WordPress が攻撃されて、乗っ取られて、攻撃の踏み台にされたり、データを破壊されたり、といったことを防ぐために、セキュリティ対策は必須です。
どんなサイト運営でも同じですが、大雑把にいえば、
- 最新版を使う
- セキュリティ対策をする
- バックアップを取る
となります。
最新版を使う
WordPress は、自動で最新版に更新されます。 更新されるとメールで通知が届きます。
WordPress の自動更新機能は、バージョン 3.7 から追加されました。 ご利用されている WordPress に 3.7 未満の場合は、自動更新されません。 3.7未満の場合は、まず 最新版にバージョンアップをしましょう。
自動更新機能の無効化
自動更新機能は、無効化できます。設定は、 wp-config.php を直接編集して無効にできます。
セキュリティ対策をする
セキュリティ対策は、いろいろな対策が必要です。
- アカウント管理
- 認証機能の追加
- 通信の暗号化
- ログの取得(監査)
- 脆弱性攻撃からの防御
認証機能の追加
総当たり攻撃に対しては、
- 二要素認証
- ワンタイムパスワード
- 画像認証
などが有効です。
画像認証(CAPTCHA)を入れると、ボット(ロボット)が攻撃しにくくなります。Google の reCAPTCHA を利用したプラグインがたくさん提供されています。画像認証は、コメント欄でも使うと、スパム対策として有効です(人手によるスパマーは防げませんが、スパムロボットには対抗できます)。
通信の暗号化
管理画面、ログイン画面を SSL 通信にすると良いでしょう。パスワード や セッションを守ることができます。
ログインのログの取得
プラグイン Crazy Bone を利用すると
- どの IPアドレス
- どのユーザ
でログイン試行をしているか、といった情報が取得できます。
プラグインを導入すると管理画面のメニューのユーザーに「ログイン履歴」が追加されます。
脆弱性攻撃からの防御
XSS, SQL Injection など、よくある攻撃からは、 Webアプリケーションファイアウォール (WAF) を利用するのが良いでしょう。 もし、利用しているレンタルサーバで WAF が提供されているなら、有効にしてみるのも良いでしょう。
バックアップを取る
備えあれば憂いなしです。
バックアップは、可能であれば、複数箇所(別のホスト、ストレージ)にとってあることが望ましいです。容量が許せば、複数世代のバックアップもあると良いでしょう。