コラム

ECサイトやコーポレートサイト等のwebサイトに対してもセキュリティ対策は大切です。
IT関連のセキュリティが特に優れている企業がある国はアメリカ合衆国やイスラエルがあげられます。
その、IT先進国であるアメリカ合衆国のホワイトハウスのwebサイトは、Wordpressにて制作されていることは有名なのはご存知でしょうか。

アメリカ合衆国ホワイトハウス webサイトURL　https://www.whitehouse.gov/

今回は、WordPressのセキュリティ強化の重要な対策ポイントをご紹介します。

ワードプレスはその構築情報が多いですし、様々なカスタマイズができる為、容易に使うことが可能ですが、
ログインIDとログインパスワードが第三者に情報流出等によって露見してしまいますと
WEBサイトのコンテンツページの内容を改変したり、Webサイトのコンテンツを全て削除することができてしまいます。
会員サイトであれば、お客様の個人情報等が流出してしまうの可能性もありますので、
webサイトの種別によっては、セキュリティ面には細心の注意が必要です。

そこで、WordPressのセキュリティを強化するために注意しておきたいポイントを下記の21個にまとめました。

21個の重要な対策ポイント

1 WordPress及びプラグインを最新版にする

WordPressやプラグインのバージョンは常に最新バージョンにアップデートしておくことが望ましいです。
最新のWordpressバージョンは2020年9月1日に公開された5.5.1となっています。
アップデート情報はこちらのMaintenance Release：URL https://wordpress.org/news/に記述されています。
現状ちょっとした機能の拡張・バグの修正が出されています。
最新のバージョンにアップデートした場合、プラグインが動かなくなるなどの不具合が生じる場合もありますので、その辺りに注意する必要があります。

2 サイトのデータを定期的にバックアップを行う

万一の場合に備えて、定期的にサイトのデータのバックアップを取るといいでしょう。
下記の3つの方法のいづれかでバックアップが可能です。

➀WordPressプラグインを利用したバックアップ
➁WordPressサイトであれば、プラグインを利用するのが簡単にできます。
➂データベースも含めて他のFTPサーバーやオンラインストレージへ自動でバックアップしてくれます。

3 SiteGuard WP Pluginを使ってセキュリティを強化する

WordPressの管理画面・ログイン画面を保護することが可能なプラグインです。

こちらを実装するといいかもしれません。

4 『Akismet』プラグインを利用して、スパムコメント対策をする

Akismetのプラグインを有効化することで悪質なスパムコメントを防ぐことが可能です。

よく分からないコメントがブログにあった場合、削除し、Akismetをいれているかどうか確認しましょう。

5 不要なプラグインは削除する

不要なプラグインは削除して安全性を高めることが可能です。
何故ならば、最新バージョンではないプラグインには、セキュリティの脆弱性を抱えている可能性があるからです。

2020年9月18日にwordpress用のプラグイン『FileManager』に脆弱性が指摘されています。

どのような脆弱性か？といいますと、遠隔でコードが実行できるようになる脆弱性です。
この脆弱性を突けば、データを盗んだり、webサイト自体を削除・破壊したり、マルウエア等の有害なコードを
埋め込んだりすることが可能なようです。

6 アカウント情報を変更する

7 アカウントを増やしすぎない

管理するアカウントを何個もつくらないようにしましょう。

9 ワードプレスにログインする際のアカウント名であるデフォルトのadminを削除しておく。

10 wp-config.phpをアクセス不可設定にする。

●.htaccessに追加

.htaccessに以下の記述を追加。

●パーミッション400か600に変更

サーバー側で既にしている場合は不要ですが、wp-config.php のパーミッションを400または600に変更。
共有サーバーの場合、400が使えないので600にするといいでしょう。

wp-config.php は データベースなど WordPress の動作に必要な設定情報が書き込まれたファイルです。
末尾2桁を”？00”にすることで、wp-config.phpを外部から読み取り、書き込み、実行を行えない状態にすることができます。
これによってセキュリティが向上します。

参考
https://ja.wordpress.org/support/article/changing-file-permissions/

11 データベーステーブルのprefix(プレフィックス)をデフォルトのものから変更する

WP Security ScanやChange DB Prefix、Change Table Prefixなどのプラグインを使うことで
データベーステーブルのPrefixを変更することが可能です。
また、手動で変更する方法もあります。

prefix(プレフィックス)を手動でする方法
➀wp-config.phpを開き下記の記述を見つけます。
$table_prefix = ‘wp_’;

➁データベースのテーブルネームを変更。

12 WordPressで構築されていることを隠す

wordpressで構築されていることがわからないようにすることが可能です。
WordPressのテーマディレクトリにあるfunctions.phpに表示を制限する記述を追加しましょう。
そうすることで、Wordpressで構築されているのを分かりにくくすることが可能です。

13 ログインページと管理ページへのアクセス制限をしておく

・ログイン画面のURLを変更する
・ログイン画面にBasic認証を設定する
・ログイン画面のアクセスを接続元のIPで制限する
・ログインの失敗回数を制限する

14 WordPressの設定ファイルへのアクセスを制限する

15 アクセスログをとる。

Googleアナリティクスだけではなく、サーバーサイドでもアクセスログをとるようにしましょう。

そうすることで、いつ侵入・攻撃されたか？回数はどれぐらいかがわかる場合もありますので、

攻撃があった場合、対策をたてることが可能になります。

16 ログイン時に、二段階認証、ワンタイムパスワード、画像認証、を取り入れる

17 WordPressの設定ファイルへのアクセスを制限する

➀『.htaccess』に対する書き込みを防ぐ

.htaccessに対する書き込みを防ぐためにパーミッション設定は必須です。
パーマリンクの設定が出来るように606にしましょう。

18 ユーザーのパスワードを複雑にする

GoogleChromeのパスワード自動生成機能を使って安全なパスワードを作成することによって活用が可能のようです。

19 デフォルトユーザーのadminを削除しておく。

20 利用者ごとにユーザーを用意し、権限を分けておく。

21 phpMyAdminを別名称にする・アクセスできなくする・アクセスを限定する

➀別名称にする
phpmyadminを別名称に変更することにより、第三者からアクセスすることを難しくする方法です。

➁アクセスできなくする
rootでアクセスできなくることで可能です。
また、BASIC認証を設定することも一つの方法です。

➂アクセスを限定する
セキュリティ対策の為にphpMyadminは特定のIPアドレスからのアクセスに限定する等

➀、➁、➂を組み合わせてセキュリティを強化するのがいいかもしれません。

まとめ

wordpressはオープンソースであり、世界で最も多く使われているCMSの一つです。
その分、世界でメジャーなオープンソースであるが故にハッカーによる攻撃の対象となる可能性がありますが
世界で最も多く使われているCMSですので、セキュリティ対策も都度バージョンアップされています。
ホームページは大切な資産でもありますので、セキュリティを強化するということは重要なことです。
WordPressのセキュリティを強化する21個の重要な対策ポイントを参考にしていただければ幸いです。