WEB/システム/IT技術ブログ

WordPressセキュリティチェック項目一覧

WordPressのセキュリティチェック項目一覧です。

最近WordPressを使った要件がますます増えてきたのですが、そんな中でセキュリティチェックはルーチンワークとなっています。

オープンソースとして、活用事例も格段に多いWordPressですが、それに伴い攻撃の対象となりやすいのも事実です。ここで今一度、そのセキュリティの精度を確保するために、チェック項目一覧としてまとめてみます。

インストール編

WordPressインストール時に気をつけたいセキュリティチェック項目の一覧です。

WordPressインストールディレクトリの変更 WordPress本体のインストールディレクトリはルートにせずに、任意のディレクトリに設置しましょう。また、ディレクトリ名は「wordpress」や「wp」などとせずに、連想されないディレクトリ名にしましょう。
テーブルプレフィックスをデフォルトから変更する インストール時、デフォルトで生成されるDB内のテーブル名プレフィックスは「wp_」です。データベースを攻撃の対象とされた場合の対策として別のプレフィックスに変更しましょう。
SSL通信を適用する ログイン画面、管理画面にはSSLを適用して、通信を暗号化しましょう。
ユーザ名を「admin」などとしない 不正ログインを防ぐため、ユーザ名を「root」や「kanri」などにしない。特に、以前のバージョンでデフォルト管理ユーザ名である「admin」にはしない。

運用編

WordPress運用時に気をつけたいセキュリティチェック項目の一覧です。

バージョンは常に最新にする WordPress本体、テーマ、プラグインのバージョンは常に最新の状態を保つようにしましょう。
管理画面に認証をかける 管理画面ディレクトリ「/wp-admin/」にはWordPressログイン以外に、Basic認証でアクセス制限をかけましょう。
パスワードはより強固なものに WordPressに限った話ではありませんが、パスワードは覚えやすいもの、簡単なものではなく、より強固なものにしましょう。
定期的にバックアップを取得 これらのセキュリティを施していれば絶対安全という事はありません。何か起こった後のことを考えて、もとに戻せるように定期的にバックアップは取得するようにしましょう。

プラグイン編

セキュリティ対策に便利なプラグインの一覧です。

Akismet 大量のスパムコメントをブロックしてくれます。

※プラグインによるセキュリティ強化は手軽で効果的である一方、その精度がプラグイン開発側に依存するコストともいえるので、ここでは最小限のご紹介とします。

WordPressの隠蔽

WordPressを攻撃対象とされるなら、WordPressであることを隠すことも大きなセキュリティ対策となります。

不要なWordPressに関する情報を削除する デフォルトのテーマなどに含まれる以下のようなメタ情報、その他WordPressに関する不要な記述はできるだけ削除しましょう。

<meta name="generator" content="WordPress x.x.x" />
静的コンテンツの設置場所を変更する 静的なHTML、JS、CSSなどのファイル、また、画像、メディアのアップロード先をテーマ内としていると、ソースからインストール先が丸見えです。可能であれば、静的コンテンツの設置場所は変更しておきましょう。

例えば:/wordpress/wp-content/themes/twentyfifteen/style.css

※こちらの記事はWordPress 4.2.2をベースに記述しています

ここに挙げたセキュリティ対策は有効ではありますが万全とは言い切れません。一方で、セキュリティ対策の思案は無限にあるでしょう。
決してアクセスの多くないサイトに数百万円のセキュリティ対策をする必要がないように、セキュリティ対策は費用対効果なので、各々のサイトの状況に応じてご参考いただければ幸いです。

B!

Comment

コメントはありません

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Monthly Archives