Zenn
👩‍💻

WordPressのセキュリティ対策をまとめてみました

2022/10/17に公開
PHP
WordPress
tech

WordPressのセキュリティ対策をまとめてみました

セキュリティ対策での苦労

WordPressで一番恐れらているのは、セキュリティです。
私も知り合いのwebエンジニア、デザイナーでハッキングやスパムメールの嵐などを受けた方もいます。私自身もスパムメールの嵐を受けて大変な思いを致しました。
ここで私が必須でやっているWordPressのセキュリティ対策を5つご紹介したいと思います。

まずWordPressのプラグイン、バージョンは常に最新

これは言うまでもないですが、ハッキングを食らう原因の一つです。
特に制作会社さんやフリーランスの方で保守料をお客様から頂いてる方は、WordPressのバージョンやプラグイン周りを確認しましょう。
意外と疎かにしている方が多いのですが、やられやすいのでハッキングされたら元もこうもないです。

ログインのためのID パスワードはできるだけ複雑に

これもハッキングを食らいます。
よく多いのが、ID名をadminにしてる人です。ここは極力、別の名前にした方が無難です。パスワードも複雑にして生年月日や分かりやすいものは、避けた方がいいです。

wp-admin、wp-loginは最低でもIPアドレスで制限もしくは、.htaccessでBasic認証

これもハッキングを食らいます。
よく多いのが、ID名をadminにしてる人です。ここは極力、別の名前にした方が無難です。パスワードも複雑にして生年月日や分かりやすいものは、避けた方がいいです。

よくwebサイトを見るとhtpps~/wp-adminもしくはwp-loginを打つと管理画面のログイン画面に行きますが、これも正直良くないです。
下記のような形式でサーバー上にあげることをおすすめします。

.htaccess

    //ipアドレスの場合 .htaccessファイル
    <Files wp-login.php>
    Order deny,allow
    Deny from all
    Allow from 番号.番号.番号.番号
    </Files>
.htaccess

    //ベーシック認証の場合

    //.htpasswdファイル
    owner:BZ5HfSLDBLeSE

    //.htaccessファイル

    <Files wp-login.php>
    AuthUserFile ※ここに「.htpasswd」へのフルパスの記入 例 /var/www/.htpasswd
    AuthName "Please enter your ID and password"
    AuthType Basic
    require valid-user
    </Files>

.htaccessファイル、xmlrpc.php、robots.txt、wp-config.php等を403エラーにする

こちらも403エラーにして見えない形をとらないと、ハッキングされる原因にもなります。
下記のような形式でサーバー上にあげることをおすすめします。

.htaccess

    //.htaccessファイル
    <Files ~ "^\.(htaccess|htpasswd)$">
    deny from all
    </Files>

    <Files xmlrpc.php>
    Order allow,deny
    Deny from all
    </Files>

    <Files robots.txt>
    Order allow,deny
    Deny from all
    </Files>

    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

また、サイトのURL/?author=1でユーザーIDが分かってします恐れがあるため
下記のURLのWordPress のユーザー・一覧表示対策も行う事をおすすめします。

WordPress のユーザー・一覧表示対策
https://www.webdesignleaves.com/pr/wp/wp_user_enumeration.html

また、WordPressのログインURL変更方法するのもおすすめです。プラグインもありますが
サイトが重くなる可能性もあるのでプラグインなしで行うのもありかと思います。

WordPressのログインURL変更方法!プラグインを使わない場合も解説
https://webcodezero.com/wordpress/wp-login/

WordPressの脆弱性診断で確認

主に、このセキュリティチェック診断サイト利用して解決できる項目は解決して行きます。
お使いのURLをコピーアンドペーストするだけで診断できます!!

Online WordPress Security Scan for Vulnerabilities
https://wpsec.com/

WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ
https://wp-doctor.jp/blog/wordpressワードプレスセキュリティースキャナー/

セキュリティースキャナは、お使いのレンタルサーバーによって出力される注意文が違いますので、ここも解明次第このブログで書けたらと思います。

参考にしたサイト

  1. WordPressの脆弱性対策を思いつく範囲でまとめてみました!
    https://deep-blog.jp/engineer/wordpress-security-measure/

まとめ

WordPressのセキュリティ周りをお伝え致しましたが、ハッキングやスパムメールの嵐で困る前に是非、対策を練る事を大変おすすめします。
またWordPressは需要が多い分、狙われやすいCMSです。しっかり対策して行けばリスクは減ります!
是非対策して行きますしょう!

Discussion