[WordPress]最低限のセキュリティ対策
トップページへ
※記事の内容は当時のままで古いですが、対策としては変わっていないのでそのままとします(2024/4/10)
必要に迫られたので、下記のサイトを参考にさせて頂きながら、最低限のセキュリティ対策を実施しました。
当方のレンタルサーバー「エックスサーバー」のパーミッション
※参考にされることは幸いですが、当管理人は「読者様のいかなる場合のトラブル」において責任は負いかねます。
超簡単、パスワードの変更
A 定期的にパスワードを変える
B 長いパスワードにする
AかBあるいは両方の実施だけでも、セキュリティ対策としてかなり効果があります。仮にパスワードが他人に知られると、サイトが書き換えつまり改ざんされたり、他のサイトへの攻撃に悪用されてしまいます。
簡単、ワードプレスの更新(アップデート)
WordPress本体をバージョンアップすることでセキュリティが向上します。
なお、アップデートの前に「今までの記事をバックアップ(エクスポート)」および「プラグインごとに設定ファイルがあればそれもバックアップ」してから、アップデートを実施して下さい。
属性・パーミッションの変更
番号は間違えないように。
ファイルパーミッションの変更 | WordPress.org 日本語
を参考にすると
・wp-config.phpの属性は「600」にする
・.htaccessを使用していたら属性を「644か604」にする
変更前の数字をメモしたうえで変更。その後、ワードプレスにログインできるのかを確認して下さい。ログインできなくなった場合は、変更前の数字に戻して下さい。
WAF(Web Application FireWall)を利用する
設定によってはワードプレスの記事の更新ができないことがあります。私自身、WAFは利用していますが、一部をオフにしています。
「ワードプレスの更新ができるかどうか」を気にしつつ、WAFの機能ごとにオン・オフを試すと良いと思いますし、記事の更新ができなくなった場合はオフに戻すと良いでしょう。
(ただしWAFでオフの機能が増えると、セキュリティリスクは上昇します。お気を付けください)
レンタルサーバーがWAFを装備していたら、必要に応じて「有効(オン)」にします。
※WAFのすべてをオンにした際、WordPressの一部の記事で「サーバーエラー:501」が表示され追加・更新されなくなったので、こちらの記事を参考にさせて頂きWAFのいくつかの設定をオフにしました。
※エックスサーバー+WordPressを使用している私は、色々試した結果「SQL / ファイル / コマンド はオフ」にしています。
エックスサーバーの補足
WAF設定では、有害な可能性のあるアクセスを検知する機能を提供しますが設定により不正アクセスを100%駆除することを保証するものではありません。
あくまでWebアプリケーションの持つ脆弱性に対する不正アクセスへの最低限の予防策となります。 脆弱性に対する不正アクセスへの根本的対応として随時最新バージョンのアプリケーションの利用やセキュリティ対応が必ず必要となりますのでご確認の上ご利用ください。
WAF設定は厳格なルールに従って不正アクセスを判断するため、ご利用のWebアプリケーションの動作についても影響を与える可能性がありますのであらかじめご了承ください。
その他
Q.wp-includes/wlwmanifest.xmlへのアクセスが多い
A.プラグイン「Windows Live Writer」に含まれるファイルだそうです。そのプラグインを使用していなければ気にしなくて良いと思いますが、使用している場合は最新のバージョンにアップデートするなどをご検討下さい。
・xmlrpc.phpへのアクセスが多い
参考
エックスサーバー・XML-RPC API アクセス制限より
スマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します。
エックスサーバー・WordPressの「XML-RPC」に対するセキュリティ強化のお知らせ
関連するファイル
/wp-admin … ダッシュボード のフォルダ
/wp-login.php … ダッシュボード ログイン時にアクセスするファイル
/xmlrpc.php … XML-RPC WordPress API (ファイル)
/wp-json … REST APIアクセス時に含まれるURL