悪質ボットからWordPressを守るセキュリティ4つの方法

マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
サイトセキュリティとWORDPRESSの脆弱性を理解するで記載したようにWordPressは様々な方法のマルウェアがあります。しかし同時にインターネット上でセキュリティの専門家が最新WordPressセキュリティ情報を公開しています。

ぜひ公開されている”悪役” ボットもしくはIPブラックアドレスのリストを活用してください。自分で調べるよりよっぽど早くて楽なので。

• 攻撃者IPアドレスリスト – Qiita
• ブラックリストデータベース – Campaign – Adobe

iThemesセキュリティは、あなたのWordPressのウェブサイトへアクセスする悪役リストを簡単に入手し、排除する機能があります。[設定]ページから訪問＞禁止ユーザーのセクションをクリックしブラックリスト機能を有効にすればいいだけです。

サイトセキュリティとWORDPRESSの脆弱性を理解するでも記載したように、セキュリティ上の脆弱性のほとんどがWordPressプラグインのXML-RPCプロトコル（xmlrpc.php）に存在していたことが発見されました。
xmlrpcは、外部からWordPressのコントロールを提供するため、ハッカーによりその機能を悪用されることがあります。

WordPressにおけるxmlrpc機能とは、メールで投稿作成したりサイトに記載されたコメントを編集・追加・削除できる機能をいいます。最近では当たり前の機能になっていますが、投稿した記事をfacebookやtwitterなどのSNSアカウントに自動でシェアする機能もxmlrpcになります。

このプラグインが有効になっていれば、誰かがあなたのパスワードに総当り攻撃（ブルートフォース）を無限に試みるくる可能性があります。

安全なWordPress運用方法は、可能な限りXML-RPCを使用せずプロトコルを完全に無効化することをオススメします。

コンテンツ更新回数の頻度が多く、さらにSNS自動連携をせざる得ない場合を除いては、SNSへの自動シェアも手動で投稿することをお勧めいたします。

• 設定＞ディスカッション設定　のチェックを全て外す。
• 設定＞表示設定　メールでの投稿機能を使わない。