WordPressのセキュリティ対策

提供: セキュリティ
2016年1月3日 (日) 20:02時点におけるDaemon (トーク | 投稿記録)による版 (ログインのログの取得)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

WordPressは、オープンソースの人気のCMS(コンテンツマネジメントシステム)です。よく使われいて、かつ、脆弱性がたくさん見つかることもあり、攻撃者の標的となりやすい側面もあります。

読み方

WordPress

概要

運営している WordPress が攻撃されて、乗っ取られて、攻撃の踏み台にされたり、データを破壊されたり、といったことを防ぐために、セキュリティ対策は必須です

どんなサイト運営でも同じですが、大雑把にいえば、

  • 最新版を使う
  • セキュリティ対策をする
  • バックアップを取る

となります。

最新版を使う

WordPress は、自動最新版に更新されます。 更新されるとメールで通知が届きます。

WordPress の自動更新機能は、バージョン 3.7 から追加されました。 ご利用されている WordPress に 3.7 未満の場合は、自動更新されません。 3.7未満の場合は、まず 最新版にバージョンアップをしましょう。

自動更新機能の無効化

自動更新機能は、無効化できます。設定は、 wp-config.php を直接編集して無効にできます。

セキュリティ対策をする

セキュリティ対策は、いろいろな対策が必要です。

  • アカウント管理
  • 認証機能の追加
  • 通信の暗号化
  • ログの取得(監査)
  • 脆弱性攻撃からの防御

認証機能の追加

総当たり攻撃に対しては、

などが有効です。

画像認証(CAPTCHA)を入れると、ボット(ロボット)が攻撃しにくくなります。Google の reCAPTCHA を利用したプラグインがたくさん提供されています。画像認証は、コメント欄でも使うと、スパム対策として有効です(人手によるスパマーは防げませんが、スパムロボットには対抗できます)。

通信の暗号化

管理画面、ログイン画面を SSL 通信にすると良いでしょう。パスワード や セッションを守ることができます。

ログインのログの取得

プラグイン Crazy Bone を利用すると

でログイン試行をしているか、といった情報が取得できます。

プラグインを導入すると管理画面のメニューのユーザーに「ログイン履歴」が追加されます。

脆弱性攻撃からの防御

XSS, SQL Injection など、よくある攻撃からは、 Webアプリケーションファイアウォール (WAF) を利用するのが良いでしょう。 もし、利用しているレンタルサーバで WAF が提供されているなら、有効にしてみるのも良いでしょう。

バックアップを取る

備えあれば憂いなしです。

バックアップは、可能であれば、複数箇所(別のホスト、ストレージ)にとってあることが望ましいです。容量が許せば、複数世代のバックアップもあると良いでしょう。

関連項目




スポンサーリンク