WordPressセキュリティを向上させる基本設定と19のチェックリスト

WordPressのセキュリティ対策を1つまたは2つ実装するだけでは、WordPressのWebサイトを完全に安全にすることはできません。

そこでインストールなどの初期構築に行う作業と、定期的に行うメンテナンスに分け、19のチェックリストを作成しました。ぜひWEBサイトの保守とセキュリティを向上にお役立ていただければと思います。

WordPressは パフォーマンスとセキュリティを向上させるために定期的なソフトウェア更新をリリースしています。ソフトウェアのバージョンを最新に保つことは、WordPressのセキュリティを向上させる最も簡単な方法の1つです。

ですが自動更新を有効にすると作業負荷が軽減される一方、古いプラグインやテーマとの互換性がないためにWebサイトがクラッシュすることがありますので、自動更新を有効にする場合は、エラーが発生した場合に以前のバージョンに戻せるように、定期的にバックアップされていることを確認してください。

最新のWordPressバージョンかどうかを確認するには、WordPressの管理画面にログインし、左側のメニュー パネルで[ダッシュボード] -> [更新] に移動します。バージョンが最新ではないことが示されている場合は、できるだけ早く更新することをお勧めします。

WordPress管理アカウント名には よく知られている「admin」や「administrator」を使用しないようにしましょう。
推測しやすいユーザー名を使用することで、サイトがブルートフォース攻撃を受けるリスクが高くなります。「admin」ユーザー名をWordPressから削除し、adminを使用してログインを試みるホストを禁止しましょう。

アカウントの他 パスワード設定ですが、長くて複雑である必要はありません。文字だけではなく特殊な記号や数字を使用しながら、12文字以上のパスワードに組み合わせてを使用することをお勧めします。

ログインページが不正なIPアドレスからのアクセスやブルートフォース攻撃から保護する必要があります。URLロックダウンを有効にすることで 許可されたIPアドレスのみアクセスが可能になります。登録は、以下の３つの方法があります。

– .htaccessに許可IPを記載する –

サーバーにアップロードするhtaccessファイルに「特定アクセスを拒否」する設定の場合は、「allow from all」の後に許可するIPアドレスを指定し記述します。このルールを使用して、/wp-adminなどの他の認証済みURLを制限することもできます。

– IPを制限できるセキュリティプラグインを導入する –

htaccess同様に制御が可能です。さらにブラックリストと呼ばれる機能があるため、ログインページのURLにブロックリストに追加すれば、セキュリティ強化にも繋がります。

– レンタルサーバ会社の管理画面で制御する –

契約したサーバー会社の管理画面にアクセスして、IP登録を行います。ただし制御できる機能が必ずあるわけではないので、事前に確認が必要です。

上記の３つの方法が存在しますが、管理しやすさ・柔軟性・セキィリティレベルを考慮して選択することが重要です。

無料配布されているテーマの中には、違法性があるものや開発者から何のサポートも受けられないものが存在します。つまり、サイトに問題があった場合は、自己責任でWordPressサイトを保護する方法を見つけ出す必要があります。そういったことから、セキュリティを考慮してWordPress公式サイトまたは信頼できる開発者からWordPressテーマを選択することをお勧めします。

SSLとは、WebサイトのIDを認証し、暗号化された接続を可能にするデジタル証明書を指します。SSL はSecure Sockets Layerの略で、WebサーバーとWebブラウザの間に暗号化されたリンクを作成するセキュリティプロトコルです。

SSL証明書は、2017年から各ブラウザで推奨しているメリットがあります。ほぼ全てのサーバー会社で導入が可能なため、必須と言えるでしょう。

参考記事： WordPressにおすすめのレンタルサーバー5選

特にプラグインとテーマを使用していないものが存在している場合、ハッカーがそれらを使用してサイトにアクセスできるため、サイバー攻撃のリスクを回避するためにも削除しましょう。

ダッシュボードからWordPressプラグインまたはテーマを削除する場合、そのプラグインまたはテーマのアンインストーラー（完全な削除）がない場合があります。この場合、FTPを介してデータベースにアクセスし、手動で削除する必要があります。

プラグインを使用せずに Web サイトのセキュリティを強化する6つの作業をご紹介します。これらのタスクのほとんどは、初回立ち上げの構築時に対応する必要がございますが、既にサイトを公開していてもコードを調整することで対応が可能です。

PHP エラー レポートには、Web サイトのパスとファイル構造に関する完全な情報が表示されるため、サイトの PHP スクリプトを監視するための優れた機能になります。

ただし、バックエンドで Web サイトの脆弱性を示すことは、WordPress の重大なセキュリティ上の欠陥です。

たとえば、エラー メッセージが表示された特定のプラグインが表示された場合、サイバー犯罪者はそのプラグインの脆弱性を悪用する可能性があります。

PHP エラー レポートを無効にするには、PHP ファイルまたはホスティング アカウントのコントロール パネルを使用する 2 つの方法があります。

– PHP ファイルの変更 –

WordPressファイルからwp-config.phpを開き、@ ini_set ( ‘display_errors’, 0 ) の記述を行い、PHPエラーレポートを無効にします。

– ホスティングから変更 –

ご利用のサーバー会社への問い合わせをお願いします。

ホスティング プロバイダーは、サーバー上のすべての Web サイト データとファイルの安全な領域を保証する必要があるため、セキュリティ レベルが優れているプロバイダーを選択することが重要です。
現在の Web ホスティング会社の安全性が十分ではないと思われる場合は、WordPress Web サイトを新しいホスティング プラットフォームに移行する時期です。安全な Web ホストを検索する際に考慮すべき点は次のとおりです。

– Web ホスティングの種類 –

共有および WordPress ホスティングの種類は、リソースの共有により、他の種類のホスティングよりもサイバー攻撃に対して脆弱になる傾向があります。リソースを分離するために、VPS または専用ホスティングも提供する Web ホストを選択します。

– セキュリティ –

優れたホスティング プロバイダーは、疑わしいアクティビティがないかネットワークを監視し、サーバー ソフトウェアとハ​​ードウェアを定期的に更新します。また、サーバーのセキュリティと、あらゆる種類のサイバー攻撃に対する保護も必要です。

– 機能 –

ホスティングの種類に関係なく、マルウェアを防止するための自動バックアップとセキュリティ ツールは、WordPress サイトを保護するための必須機能です。最悪のシナリオでは、それを使用して侵害された Web サイトを復元できます。

– サポート –

優れた技術知識を持つ 24 時間年中無休のサポート チームを擁するホスティング会社を選択することが不可欠です。データを保護し、発生する可能性のある技術的および安全上の問題に対処するのに役立ちます。

WordPress データベースは、サイトが機能するために必要なすべての重要な情報を保持および保存します。そのため、ハッカーは多くの場合、SQL インジェクション攻撃でデータベースを標的にしています。この手法は、データベースに有害なコードを挿入し、WordPress のセキュリティ対策を回避してデー​​タベースのコンテンツを取得する可能性があります。

サイバー攻撃の 50%以上がSQL インジェクションで構成されており、最大の脅威の1つとなっています。多くのユーザーが標準のデータベーステーブル接頭辞 wp_ をそのまま利用されているため、ハッカーはこの攻撃を実行します。

テーブル接頭辞の変更は、wp-config.phpファイルから $table_prefix値 を探し、変更してください。サイトにインストールされている WordPress プラグインの数によっては、データベースの一部の値を手動で更新する必要がある場合がありますので phpMyAdmin ダッシュボードからSQL テーブル内のテーブル接頭辞の更新も同時に行ってください。

XML-RPC は、モバイル デバイス経由でコンテンツにアクセスして公開し、トラックバックとピンバックを有効にし、WordPress Web サイトで Jetpack プラグインを使用するための WordPress の機能です。

ただし、XML-RPC には、ハッカーが悪用できる弱点がいくつかあります。この機能により、セキュリティ ソフトウェアによって検出されることなく複数回のログイン試行が可能になり、サイトがブルート フォース攻撃を受けやすくなります。

ハッカーは、XML-RPC ピンバック機能を利用して DDoS 攻撃を実行することもできます。攻撃者は一度に何千もの Web サイトにピンバックを送信できるため、標的のサイトがクラッシュする可能性があります。

XML-RPC が有効になっているかどうかを判断するには、XML-RPC 検証サービスを通じてサイトを実行し、成功メッセージが表示されるかどうかを確認します。これは、XML-RPC 関数が実行されていることを意味します。

プラグインを使用するか、手動で XML-RPC 機能を無効にすることができます。

WordPress のソースコードには標準でバージョンを記載するようになっています。特に古い WordPress バージョンの記載があった場合、ハッカーはそのバージョンの脆弱性を利用してサイトを攻撃する可能性があります。

サイトからバージョン情報を隠すには WordPress テーマ エディターで functions.phpファイルからヘッダーと RSS フィードからバージョン番号を削除することが可能です。

WordPress は更新作業が簡単にでき、情報を常に最新にできるメリットがあります。しかし、その反面ファイルやフォルダーを読み取り、書き込み、または実行できるため 全てのユーザーに可能な権限が与えられていることで外部攻撃の対象にもなっています。

上記の通り、アクセス許可は標準で全てのユーザーに付与されています。ファイルやフォルダーの中でも特にwp-adminフォルダーとwp-configファイルについては、保守を依頼しているベンダーや制作会社（所有者）のみが書き込みできる ようにしてください。

その他のアクセス管理は、ウェブ ホストのファイル マネージャー、FTP クライアント、またはコマンド ラインを使用して、ファイルとフォルダーのアクセス許可を変更できます。

ただし、セキュリティ向上させるために多くの書き込み禁止を行うと、更新できるはずのページが限定されるため、都度ベンダーや制作会社に依頼することになります。
ファイルアクセス管理をする際は、しっかりと運用要件をすり合わせることが重要になります。