きちんと対応しておかないと危ない!WordPressの導入時に行うセキュリティ対応10項目

security

実際にWordPressを導入する際に気をつけておかないことは、セキュリティ対策です。

WordPressはオープンソースという性質上脆弱性が発見されやすいのに加え、利用率が非常に高いため、悪意を持ったハッカーの標的にされる可能性も非常に高くなります。

そのため、WordPressを導入するにはセキュリティ対策をしておく必要が有ります。

今回の記事では、WordPress導入時に行うセキュリティ対策について紹介していきます。

必ず対策しておかなければならない10項目

  • テーマは公式のものを利用する
  • プラグインは公式のものを利用する
  • WordPress本体・テーマ・プラグインは最新のものを利用する
  • 「wp-config.php」を外部からアクセスできない様に設定する
  • データベースのプレフィックスを標準から変更する
  • WordPressのバージョン情報を削除する
  • デフォルトユーザーに「admin」を利用しない
  • パスワードやログイン名は8文字以上にする
  • FTPを利用しない
  • バックアップをとる

テーマは公式のものを利用する

自分でテーマを選定して導入する場合はWordPressの公式サイトのテーマを利用しましょう。

WordPress公式のものは脆弱性やバグが少なく、バージョンアップがあれば通知が来るので、外注でオリジナルデザインを作らないのであれば、公式テーマを利用するようにしましょう。

もしどうしても公式ではないプラグインを使いたい場合は、「Theme-Check」プラグインを利用して、WordPressの品質ガイドラインに準拠しているかや、不正なコードがないかを確認しておきましょう。

Theme checkプラグインについてはこちらの記事を参照

プラグインは公式のものを利用する

こちらも開発を依頼したりするのでなければ、WordPress公式のプラグインを利用しましょう。

WordPress公式のものは脆弱性やバグが少ないというのも有りますが、設定方法や利用方法をインターネットで調べやすいという利点もあるので、公式のプラグインを利用するようにしましょう。

また、利用しなくなったプラグインについては、無効にするだけではなく、必ず削除しておきましょう。

WordPress本体・テーマ・プラグインは最新のものを利用する

WordPressは非常に利用されている仕組みですので、脆弱性が発見された場合はすぐにセキュリティアップデートが提供されますが、それを放置しておくとセキュリティーホールが空いたままの状態になってしまうので必ず最新のバージョンを保つようにしましょう。

「wp-config.php」を外部からアクセスできない様に設定する

「wp-config.php」のファイルにはmデータベースへの接続ログイン名・データベース名パスワードなどが平文(暗号化されていない人が見て読める文字)で保存されているので、このファイルが他人にアクセスされて読まれてしまうと、WordPressのデータへ簡単に侵入されてしまいます。

具体的には「wp-config.php」のファイルのパーミッションを「400」もしくは「600」に設定しておきましょう。

また、.htaccessが利用できる場合は、以下の情報を記載し「wp-config.php」と同じ階層に設置しましょう。

パーミッションは、最初の一文字目から、ファイル所有者、所有グループ、その他、の閲覧・編集・実行権限を示します。6は閲覧・編集可能、4は閲覧可能、0の場合には閲覧・編集・実行のすべてが禁止されている状態を示します。

データベースのプレフィックスを標準から変更する

WordPressのデータベースはMySQLを利用しており、WordPressからデータベースのデータを読み書きしながらブログや企業サイトを表示・保存しています。

そのやりとりは、オープンソースとして公開されているため、ソースコードを読める知識のある人であればそのデータのやり取りがわかるようになっています。

ただ、ソースコードを見るだけではわからないようにできるのがデータベースのテーブル名です。

更に、データベースに接頭語を指定することができるので、それをデフォルトから変更してしまうことで、外部からの攻撃に対して強固なセキュリティをかけることができます。

ちなみにデフォルトでは「wp_」となっています。

WordPressのバージョン情報を削除する

WordPressを普通に利用していると、各ページのヘッダーに様々な情報が表示されます。

その中でも表示されるバージョン情報は表示されないようにしましょう。

これは、バージョンがわかってしまうと「最新ではないWordPress」を使っていたりした場合、悪意を持った攻撃者のターゲットとなった場合、脆弱性をつかれてしまいます。

ちなみに、バージョン情報を非表示にするにはテーマ内の「function.php」に

と記載することで非表示にすることが可能です。

デフォルトユーザーに「admin」を利用しない

デフォルトで作成されるユーザー「admin」を利用している場合、悪意のある攻撃者はパスワードのみを特定すればよくなってしまうため、不正ログインが容易になってしまいます。

パスワードやログイン名は8文字以上にする

これはインターネットのパスワード管理などと同じですが、パスワードなどは短いと破られてしまうリスクが高くなるので、なるべく長目のユーザー名やパスワードを利用するようにしましょう。

FTPを利用しない

FTPはファイルをサーバーにアップロードする仕組みの一つで、よくFTPソフトを利用してWordPressを構築している方がいらっしゃいますが、FTPは通信が暗号化されず、パスワードなども平文(暗号化されていない人が見て読める文字)でサーバーに送られるため、ココを盗み見られてしまうと不正アクセスされてしまうことになります。

そのため、SFTPやFTPSなどの通信を暗号化できる仕組みを利用してWordPressを構築するようにします。

最近では以前流行したガンプラー系にウイルスの影響で、FTPを利用せず、SFTPなどを利用するサーバーなども増えてきています。

もしFTPが使える環境であってもFTPは利用しないようにしましょう。

バックアップをとる

いくらセキュリティを万全にしていても、100%防げるわけではありませんので、攻撃を受けた時の対応も準備しておく必要があります。

バックアップしておくべきものはいろいろありますが、以前紹介した「WordPressを簡単にお引越し可能にするプラグイン- Duplicator –」を利用しておくと良いでしょう。

また、手動でバックアップを撮るのが大変な場合は自動でバックアップを取れるプラグインを入れておくと良いと思います。

まとめ

今回紹介したのは、本当に最低限のセキュリティです。

実際に弊社で納品する際にはこれよりもさらにセキュリティ対策を行って納品しますが、ご自身で構築する際は上記の内容を守っておけばひとまず対策はできているといえます。

もし不安な場合は、弊社までご相談いただければご対応させて頂きます。

ダブルドット合同会社 代表社員
Webディレクター
1980年生まれ

  
大学卒業後、法律事務所にてシステム部の部長として、ホームページを活用してわずか数年で数人規模から数百人規模へと成長させ、その経験を元に、ECサイト制作会社にてディレクターとして小規模から大規模のディレクションを行う。
インターネットになれないWeb担当者や店舗オーナーの方にもインターネットの恩恵を受けられるようにしたいと思い、2015年にダブルドット合同会社を設立。

「デジタルデバイドなくす」をモットーに誰もがインターネットの恩恵を受けられる社会を目指して活動中。

趣味はロードバイクで、休日は晴れていれば基本的に走っています。

この記事が気に入ったら
いいね!しよう

Twitter で

Chatworkによるお問い合わせ・ご相談

ダブルドット合同会社ではChatwork(チャットワーク)というビジネスチャットツールを使ってのお問合せも受け付けております。
ご利用になる場合は弊社アカウントまでコンタクト申請をお願いいたいします。
もちろんお電話やフォームからのお問合せでも構いません。お好みの方をお使いください。対応速度はチャットワークの方が若干早いと思います。

SNSでもご購読できます。