これだけはやっておこう!WordPress のセキュリティ対策3選

これだけはやっておこう!WordPress のセキュリティ対策3選
あぱーブログ
2016年9月14日  カテゴリー:WEB  タグ: ,
Pocket
LINEで送る

WordPress は多くのWEBサイトで使われているため、サイバー攻撃の標的とされる可能性が高いと言われています。これは WordPress に問題があるのでは無く、シェアが高いがゆえに攻撃を効率的に行えることが一つの理由です。そこで今回は、最低限これだけはやっておきたい WordPress のセキュリティ対策を3つご紹介したいと思います。

(関連記事)WordPress インストールメモ(CentOS)

WordPress本体・プラグイン・テーマの脆弱性対策

基本的なセキュリティ対策ではありますが、脆弱性(プラグインやテーマの欠陥によって、サイバー攻撃を可能にしてしまうこと)に対する対策は、基本的かつ最も重要なセキュリティ対策です。

脆弱性対策は、なにかを設定すればOK!というものではありません。継続的に取組まなければならないセキュリティ対策のため真面目にやろうとすると、なかなか大変なセキュリティ対策です。私もなにか偉そうなことを書いていますが、脆弱性対策を100%完璧にできているとは自信を持って言えません(^^;)

脆弱性対策の具体的な作業は、WordPress で使っているプラグインやテーマを把握し、常に最新版にアップデートすることです。また、WordPress に関する脆弱性情報を継続的に収集することも必要です。

使っているプラグインを把握する

脆弱性情報を活用するためには、WordPress で使っているプラグインやテーマを、すべて把握しておく必要があります。特に WordPress は、魅力的なプラグインが多いため、ついついたくさんのプラグインをインストールしてしまいます。定期的に整理→不要なプラグインを削除して、使っているプラグインを把握しやすいようにしましょう。

WordPress本体・プラグイン・テーマのアップデート

最近のバージョンでは、WordPress本体のアップデートは自動で更新する設定になっていますので、そのままの設定で運用することをオススメします。プラグインやテーマも更新の通知が表示されたら、基本的にすべてアップデートします。

しかし、これらのアップデートにより、WEBサイトの表示崩れなどのトラブルが発生する可能性もゼロではありません。定期的に(できれば毎日)WordPressディレクトリとデーターベースのバックアップ行い、アップデート前に戻せるようにしておくことをオススメします。

(関連記事)rsync で WordPress を自動バックアップする方法と復元(リストア)手順

ここ2年ほど WordPress で、このブログサイトを運営していますが、アップデートによって発生したトラブルは特にありません。アップデートによるトラブルをあまり心配する必要は無いと思いますが、備えあれば憂いなしです。

WordPress の脆弱性情報の収集

IPAセキュリティセンターの「重要なセキュリティ情報一覧」などで、脆弱性に関する情報を定期的に収集します。星の数ほどあるセキュリティ情報の中から、特に危険性の高いセキュリティ情報を厳選して一覧にしてくれています。ツイッターを日常的に使っている方でしたら、IPAセキュリティセンターの公式アカウントをフォローしておけば、手軽に情報収集ができます。

WordPress の脆弱性に特化して情報収集したい場合は、スマートフォンアプリの「リアルタイム検索(Yahoo Japan)」がオススメです。お気に入りワードに「WordPress 脆弱性」などを登録しておけば、それに関する最新情報を簡単に収集できます。また、ツイートが急激に増えた場合は(=危険な脆弱性が見つかったかも)通知もしてくれます。

SiteGuard WP Plugin を使う

WordPress 管理画面への不正ログイン対策です。

管理画面へのログインパスワードにある程度複雑なものを設定することは当然ですが、WordPress のログインページは誰にでもアクセスできてしまうため、パスワードの総当たり攻撃などが容易にできてしまいます。管理画面に関するセキュリティ対策を行っておくことで、管理画面へ不正ログインされてしまう可能性をぐっと減らせます。

SiteGuard WP Plugin」は、主に管理画面に関するセキュリティ対策を簡単に行えるプラグインです。導入方法もいたってシンプルで、インストールして有効化するだけでOKです。このプラグインは、セキュリティ関連企業の「株式会社ジェイピー・セキュア」さんが開発していますので、安心して使えることも大きな魅力です。

SiteGuard WP Plugin の機能一覧

管理ページアクセス制限ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更ログインページ名を変更します。
画像認証ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラートログインがあったことを、メールで通知します。
フェールワンス正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御XMLRPCの悪用を防ぎます。
更新通知WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポートWAF (SiteGuard Lite)の除外リストを作成します。

https://www.jp-secure.com/siteguard_wp_plugin/ より引用

SiteGuard WP Plugin のインストール

[プラグイン]→[新規追加] プラグインの追加画面で、キーワード「SiteGuard WP Plugin」でプラグイン検索してインストールします。

「有効化」をクリックします。

SiteGuard WP Plugin が有効化されるとログインページのURLが変更されます。(忘れずにメモしておきましょう)

以下の機能が初めから有効になっています。このままでも十分だと思いますが、必要に応じて機能を有効にします。

HTTPS を使い通信を暗号化する

通信を暗号化しない場合、ログインページで入力したパスワードや管理画面での入力が、そのままインターネットで通信されてしまいますので、HTTPS を使って通信を暗号化します。

WordPress で、新規にWEBサイトを立ち上げる場合は、サイト全体で HTTPS を導入することをオススメします。HTTPSを使うには、認証局にサーバ証明書を発行してもらう必要がありますが、最近では、Let's Encrypt など無料でサーバ証明書を発行してくれる認証局も増えてきましたので、費用をかけずにHTTPSを導入することができます。しかもサーバ証明書の更新作業も自動化できてしまうので運用負担が増えることもありません。

(関連記事)Let's Encrypt サーバー証明書の取得と自動更新設定メモ

既存のWEBサイトを HTTPS 化する場合は URLが変わるため、少し検討が必要です。デメリットとして、SNSボタンのカウント数が「0」になる。画像のリンクURLを「https://〜」または相対パスに変更する必要がある。などがあります。ただ、少なくともログインページと管理画面だけは、HTTPS 化することをオススメします。

このブログも、管理画面のみ自己署名証明書でHTTPS → サイト全体HTTPS化 の道をたどりましたが、道中色々なトラブルがありました。今思えば初めから HTTPS にしておけば良かったと思います。以下は HTTPS 化について色々なトラブルがあった頃に書いた記事です。

(その他)WEBサーバのセキュリティ対策

今回は、WordPress のセキュリティ対策をご紹介しましたが、WordPress を動かしているWEBサーバに不正アクセスされては元も子もありません、合わせてWEBサーバのセキュリティ対策を行うことも必要です。ただ、脆弱性対策など WordPress のセキュリティ対策とかぶっている部分もありますので、運用負担はそんなに大きくならないと思います。

(関連記事)これだけはやっておこう Linuxサーバのセキュリティ対策5つ

終わりに

WordPress に限らず、サイバー攻撃を完璧に防御することは絶対にできません。IPAセキュリティセンターの各種ガイドラインにも、攻撃が成功することを前提に対策するようにと書かれるようになりました。

セキュリティ対策をうまく進めるコツとして、完璧を目指すのではなく「攻撃が成功する確率を下げる」という視点で取組むことをオススメします。そうすることで、WEBサイト本来の目的を見失わずに、運用とセキュリティのちょうど良いバランスを見つけられると私は思います。

スポンサーリンク
Pocket
LINEで送る

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です