WordPressの簡単セキュリティ対策
無償でオープンソース。テーマもプラグインもたくさんあるので簡単にサイトがつくれたり、開発コストが少なくて済むという恩恵もあって世界中の人たちに使われているWordPress。
ですが、セキュリティが心配という理由でWordPressでの制作を禁止している企業もあります。
他のCMSに比べてセキュリティが弱いわけでも高いわけでもなく、むしろどんなCMSを選んだとしても、使ってる側が誤った設定や杜撰な運用をしていることのほうがセキュリティのリスクが高いです。これはWordPressに限らず言えることなので、簡単にできる対策を紹介します。
WordPress本体とプラグインは最新版に
機能の追加や不具合修正のみならず、セキュリティホールが見つかったときにも脆弱性の対策としてパッチが公開されます。スマートフォンもブラウザもソフトウェアもみな同じ。攻撃から身を守るためにも、WordPress本体やプラグインはアップデートを。最新版をつかうようにしましょう。
不要なものは置いておかない
使っていないプラグインは削除しましょう。
管理画面から簡単に導入できるプラグインですが、入れるとこんなふうに
ディレクトリやファイルが増えていきます。
使っていなくても、残しておくだけでプラグインの脆弱性をつかれて攻撃される可能性もあります。
いらないファイルやディレクトリも置きっぱなしにしないことが大事。可能性は少しでも減らしましょう。整理整頓。
WordPressのログイン画面
管理画面の入り口が「wp-admin」というURLです。わかりやすくて危ない。
入り口のURLを変更するだけでも、Basic認証をかけるのも◎です。
URLの変更は「SiteGurad WP」というプラグインをつかうとかんたんにできます。
管理ページアクセス制限
ログインページ変更 👈
画像認証 👈
ログイン詳細エラーメッセージの無効化
ログインロック
ログインアラート
フェールワンス
XMLRPC防御
更新通知
WAFチューニングサポート
ログイン履歴
いろいろ機能がありますが「ログインページ変更」(ログイン画面のURLを変更)と「画像認証」だけでも違いますのでやりましょう。
Basic認証をかけたい場合、htaccessで設定します。生成したパスワードを書いたファイルとhtaccessのファイルを一緒にサーバに置きます。
Basic認証パスワード生成ツール | lufttool
パスワード
念のため、生成したパスワードを。
パスワード生成ツール | lufttool
使い回しはやめましょう。
その他
バックアップする
備えは大事。画像やファイル、DBのバックアップがあると◎です。プラグインやサーバ会社さんのサービスを利用します。万が一の時に復元できるようにしておきましょう。
フォームを侮るなかれ
脆弱性ではありませんが、自動返信メールの機能がついている場合。
そのしくみを悪用され踏み台にされる可能性もあります。不正に利用されるとフォームから大量のメールが送信されてしまうため、対策をしておきます。
悪い人たちは画面からやってくるのではなく直接URLを叩いて来ますので、送信する手前に認証を設置。「reCAPTCHA」というGoogleが提供しているサービスがお手軽です。サイトを登録、APIキーが2つ発行されるので、クライアントサイドとサーバサイドの両方に設置します。ContactForm7などのプラグインでは管理画面からキーを入力するだけで設置できます◎
reCAPTCHAは「車」「信号」など該当する画像を選択する形式がお馴染みですが、最新v3ではAIが裏側で働いて判定しているそうなのでフォームの画面にはなんにも出てきません。
スパムメールが大量に送られて来て困っている方もreCAPTCHA入れると◎。
制作の時点での注意事項になりますが、お問合せフォームや検索フォームなどでつかうinputタグ。通常ここには人間の言葉を入力するはずなのですが、scriptが入らないように「htmlspecialchars」をつかいます。htmlの「<」 や「 >」 といった特殊文字がそのまま文字として認識されるというエスケープ処理を忘れずに。
さいごに
WordPressは使ってる人が多いのでその分被害も多いわけですが、脆弱性が見つかればすぐにセキュリティパッチがアップデートされますし、なんでも一概にこれが危険というのではなくて、杜撰な管理と利用が標的になりやすく、システムの構造が危ないということとは別の問題だと思っています。
ぜひ運用のルールや、定期的な見直しを。