WordPressのセキュリティ面を強化して攻撃からサイトを守る

先日、私が管理している複数のWordPressサイトが改ざんされました。
»WordPressサイトの.htaccessが改ざんされている件

結局この件は、WordPressではなくCGI版PHPの脆弱性が原因だったようですが、WordPressはユーザー数が多いことで、標的になりやすいので注意が必要です。

今回の場合、全てサテライトサイトでアクセス数もほとんどない状態だったので、特に実害は無かったのですが、これがアクセス数の多いサイトで、かつ実害がある改ざんだったとしたら問題が大きくなる可能性があります。

WordPressは世界中で使われているCMSで大変人気があり個人的にかなりお勧めですが、Windowsと同じく利用者が多い分、クラッカーやスパマーの攻撃対象になりやすいと言えます。WordPressの場合、本体だけではなくプラグインやテーマのセキュリティも関係してきます。

WordPressやプラグインは常に最新の状態にしておく

WordPressの管理画面にログインすると、WordPressやプラグインの更新情報が確認できます。

WordPressの更新は、「いますぐ更新」をクリックするだけでOKです。更新前には必ずバックアップを取っておきましょう。

プラグインについては、個別に更新しても良いのですが、「利用可能な更新」を表示して一括で更新してしまうのが楽かもしれません。ただ、その場合、更新途中で不具合があるとメンテナンスモードエラーになってしまう可能性がありますので、注意しましょう。

WordPressのログインユーザー名・パスワードの強化

  1. adminユーザーは使わない
  2. パスワードを難しくする

WordPressのデフォルトユーザー名であるadminは、ブルートフォースアタックなどによる不正ログインを許しやすいため、他のユーザー名を使いadminを使っている人は削除したほうが良いでしょう。

»新規ユーザーの追加とadminユーザーの削除方法

admin以外のユーザー名を使い、強力なパスワードにしておけば、ログイン画面からの不正アクセスは防げるはずです。

パーミッションの変更

パーミッションとはアクセス権のことですが、ファイルに誰でもアクセスできるようになっていると攻撃を受ける可能性が高まりますので、確認しておいた方が良いでしょう。

これはDreamweaverのサーバーファイルの画面ですが、FFFTPなどでも確認・変更することができます。

上図はマルチドメインで使用している状態ですが、
WordPress本体:705
ディレクトリ:705
.htaccess:604
wp-config.php:400
の状態になっています。

WordPressをインストールしたままの状態だとディレクトリが755、.htaccessが644、wp-config.phpが666になっているかもしれません。セキュリティ関連の記事を読むと上記の状態がベストなようです。(サイト改ざんへの対策をお願いいたします – ロリポップ

ただ、導入するプラグインによっては、上記のパーミッションだと機能しない場合もありますので、注意が必要です。

その他注意したい事

  • FTPアカウント・パスワードの漏洩を防ぐ
  • FTPパスワードは推測されにくいものにする
  • パソコンのセキュリティを万全に保つ

サイトが改ざんされる原因として、外部からの攻撃の他に、パソコンがウイルス感染することによる原因も考えられますので、FTP情報を入れているパソコンのセキュリティはしっかりしておく必要があります。

FTPソフトを使っている場合には、パスワードを保存した状態にしておかない方がよりセキュリティが高まります。

管理人イチオシのレンタルサーバー

当サイトでも使っているエックスサーバーは、ディスク容量が200Gと大きく、MySQLが50個まで使えますので、1つの契約でいくつものサイトを運営することができます。

転送量が月2,000G、メモリ192Gと他の格安サーバーでは見られないスペックとなっており、アクセス数の多いサイトや複数のWordPressサイトを運営するのにも向いています。

自動バックアップと電話サポートが付いているので、初心者の方でも安心!

エックスサーバーの無料お試し申し込みはこちら

公開日:2012年5月28日

サブコンテンツ

このページの先頭へ