WordPressのサイトを守るための予防策3+1

menu

2017年12月7日

先日、お客様からWordPressのサイトがハッキングされたと連絡がありました。
サイトを開くと、特定のサイトにリダイレクトされたり、ボタンをクリックさせるようなサイトにつながり、マルウェアに感染されているようでした。調査した結果、データは書き換えられていましたが、ID/PASSの乗っ取りはされておらず、まだ軽度な状態でした。適切な対策をとり、復旧は無事できたので大きな損害にはならなかったので良かったのですが、やはりWordPressには常に改ざんの危険性があると再認識しました。

周知のことでもありますが、今回はWordPressサイトをハッキングなどから守るポイントをいくつかご紹介します。

１．ID/パスワードを推測されにくいものにする

ID/パスワードを推測されて、第三者からログインできないようにすることは重要なポイントになります。
自動ソフトで、パスワードのパターン生成することで、自動検索することも簡単にできますので、テスト段階では問題ありませんが、本公開時には特に設定を慎重に対応したいものです。

以下の3つが基本的な対策になります。

　1. IDとパスワードは別々にする
　2.パスワードは８文字以上にする
　3.adminは推測されやすいので変更する

２．WordPress管理画面にアクセス制限をかける

不正ログインによるハッキングには、必ずログインページにアクセスしなければなりません。
WordPressでログインページに該当するのが「wp-login.php」というファイルです。
上記、ファイルのセキュリティーを上げることで、WordPressサイト全体を守ることができます。

少し技術的な点もありますが、以下の2つの方法があります。

1.[IPアドレス制限]

WordPress管理画面にIPアドレス制限をかけます。(.htaccess の設置)
ログイン元のIPアドレスが一定の場合は、「wp-login.php」のあるディレクトリの中に下記内容で .htaccess を設置します

===(.htaccess)===
＜Files “wp-login.php”＞
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
＜/Files＞
=================
　※（xxx.xxx.xxx.xxx：IPアドレス）

2.[BASIC認証]

IP制限が難しい場合は、BASIC認証をかけます。（.htaccess と .htpasswd の設置）
「wp-login.php」のあるディレクトリの中に下記内容で .htaccess を設置します。

===(.htaccess)===
＜Files “wp-login.php”＞
AuthName “ユーザー名とパスワードを入力してください”
AuthType Basic
AuthUserFile /@@@/.htpasswd
Require valid-user
＜/Files＞
=================
※(@@@：サーバのルートディレクトリ「/」から始まる「サーバ内のフルパス」)

☆[.htpasswd]の作成方法→IDとパスワードを格納するファイルの作成方法については、以下ページを参照ください。
https://allabout.co.jp/gm/gc/23780/

３．プラグインを最適な状態にする

WordPressのプラグインの脆弱性をつかれて、Webサイトを改ざんされる事例が発生しています。
プラグインを最適な状態にするために3つのポイントがあります。

1.WordPressの公式のプラグインからインストールできるものを使用する
　公式ディレクトリ以外で配布されているテーマやプラグインは危険である可能性があります。
　公式のプラグインはある一定の審査が行われていあるため、一定の品質が保たれているからです。

2.長い間更新されていないプラグインは代替えのプラグインに変える
　提供元から長い間更新されていないプラグインやWordPress本体の最新バージョンに対応していないものは、
　脆弱性の危険が高まっている恐れがあります。
　別のもので代用ができないか検討して、代替えのプラグインに変えることができれば対策をするのがお勧めです。

3.使用していないプラグインとテーマは削除する
　使用しないプラグインは「無効」ではなく「削除」をして、本当に必要最小限のプラグインのみを残します。
「無効」のプラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。

+1．SearchConsoleに登録し、サイト異常検知メールが届くようにする

WordPressのサイトをSearchConsoleに登録することで、サイトのハッキングの警告、手動による対策、新しい所有者の通知などの重要なメッセージが受信されます。

導入設定方法については、以下のページを参照ください。

▼SeachConsoleの導入設定方法
https://promonista.com/google-search-console/

▼SeachConsoleのメール設置方法
https://support.google.com/webmasters/answer/140528?hl=ja

まとめ

WordPressは、オープンソースの特性上プログラムが公開されているため、脆弱性が発見されやすく、ハッカーから狙われやすい特徴があります。WordPressでサイトを構築した時は、セキュリティー対策はなるべく早くすることがお勧めです。簡単な設定でも、セキュリティーは一気に向上してサイトを守ることができますので、ご参考になればと思います。