YU-Create-Lab for Web Creator Webクリエイター・Webデザイナー向けの優クリ-Lab

2019.05.10

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

前回に引き続き、今回も不正アクセスなどのセキュリティ対策をするために確認しておきたいことをご紹介します。
ただ、今回は上級編にはなりますので、少し複雑になっており、コードを触る部分もありますので、難しいと感じた場合は、コーダーの方に協力してもらいやってみましょう。

〈Check1〉「wp-config.php」へのアクセスは制御する

 「wp-config.php」はWordPressのシステムファイルの1つで非常に重要なファイルになります。

セキュリティーレベルも非常に高いファイルの一つでもあり、「wp-config.php」はデータベースへのアカウント情報が書き込まれているため、これが漏洩してしまうとデータベースを直接書き換えやデータベースにある個人情報を盗み出すことができ、情報の改ざん・情報漏洩に繋がってしまうからです。

「wp-config.php」へのセキュリティ対策として、必要なのが外部からのアクセスを不可にして、ファイルへのアクセス権限であるパーミッションも一番厳しくする必要があります。

方法として、WordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで外部からのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>


また、パーミッションの設定は「400」にしておくことで、管理者のみ「読み取り」権限になりますので、不要なアクセスを避けることが出来ます。

 

〈Check2〉管理画面へのIP制限で不正アクセスを防ぐ

こちらは固定IPを使用している場合のセキュリティ対策にはなりますが、IPアドレスをWordPressのシステムファイルである「wp-login.php」「wp-admin」に対し制限をかけることが出来ます。

例えば、自分のIPアドレスが「ABC.ABC.ABC.ABC」で固定されているのであれば、「ABC.ABC.ABC.ABC」からのみのアクセスを許可する事が出来ます。

それ以外のIPアドレスだとWordPressのログイン画面にアクセス出来ないので、不正ログインを防ぐことになります。

方法は、上記同様にWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで指定したIPアドレスからのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
</FilesMatch>


また、指定したIPアドレスが複数ある場合は、「allow from」の行を複数作ることで複数のIPアドレスを指定することが出来ます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
  allow from def.def.def.def
  allow from ghi.ghi.ghi.ghi
</FilesMatch>


 

〈Check3〉XML-RPCへのアクセスは遮断する

MXL-RPCとは、(Extensible Markup Language – Remote Procedure Call)の略になり、WordPressを外部から操作するための仕組みになります。

デフォルトだと外部からアクセスできることになっているのですが、この仕組みがDDos攻撃などのWebサイトへの攻撃の的になったりします。セキュリティ対策をする上でもこういった攻撃からWebサイトを守ることは会社の信頼にも繋がります。
MXL-RPCを使用する必要がないのであればアクセス制限をかけておくことがおすすめです。

こちらもWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで無効にすることができます。


</IfModule>
# END WordPress

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
</Files>

 

まとめ

今回ご紹介したセキュリティ対策は少し難しい内容もありましたが、どのセキュリティ対策も必要なものでWebサイトの情報を守るためには非常に重要な対策になります。

セキュリティ対策をしていないがためにWebサイトの機密情報や個人の登録情報などを管理している場合、顧客情報が漏れてしまうと大きな問題になってしまいます。

そうならないためにもまずは出来るセキュリティ対策をしっかり行うようにしましょう。
少し難しいと感じている方はコーダーの方と一緒に対応をしましょう。

その他WordPress関連記事はこちら
【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」
【WordPress】  意外と見落としがちな4つのセキュリティ対策~初級編~

Recommend この記事を読んだ人はこんな記事も読んでいます

2019.04.26

【WordPress】 意外と見落としがちな4つのセキュリティ対策~初級編~

■〈Check1〉WordPress本体の「バージョン」は常に最新状態か?WordPressのセキュリティに関する中でも、一番最初に見た方がよいのがWordPress本体そのものの「バージョン」です。WordPressには脆弱性の対策...

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

2019.04.15

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

■おすすめ「プラグイン1」国産プラグインで安心して使える「SiteGuard WP Plugin」 WordPressのセキュリティ対策プラグインとしては定番の「SiteGuard WP Plugin」。日本のセキュリティ会社「JP-Secur...

【スプレッドシート】制作現場で起こる共有トラブル!ありがちなパターンと解消法をマスターしよう

2019.03.25

【スプレッドシート】制作現場で起こる共有トラブル!ありがちなパターンと解消法をマスターしよう

■「スプレッドシート」とは? エクセルと同じ感覚で使うと起こるトラブルスプレッドシートとは、Googleが無料で提供している表計算ソフトです。スプレッドシートにおいて最大のメリットは、クラウド上で複数の人と共有できること。同時作業がで...

Webディレクターが「Webマーケティング知識を知るべき理由」と「その方法のポイント」とは?

2019.03.15

Webディレクターが「Webマーケティング知識を知るべき理由」と「その方法のポイント」とは?

■Webマーケティングは何を意味しているかWebマーケティングを簡単に言うと、Webでモノが売れる流れを作る活動のことです。あるいは、ユーザーにアクション(購買)を起こさせる仕組み作りとも言えます。具体的な例としては、SEO、リスティ...

【Webディレクター必見!!】低予算、要求だけはハイクラス…。 そんな「モンスタークライアント」を制し、仕事を回す術

2019.02.22

【Webディレクター必見!!】低予算、要求だけはハイクラス…。 そんな「モンスタークライアント」を制し、仕事を回す術

■「コスト意識」のないクライアントとは付き合わないまず、確認すべきこととしてクライアント窓口である担当者のコスト意識。何に幾らかかるかまったく理解せず、「予算はこれで、やってほしいことはこれ」と、予算と内容を別立てで提案してくるクライ...

【SEO】フリーランスのWebライターで生きていくために知っておきたい「SEO知識」

2019.01.29

【SEO】フリーランスのWebライターで生きていくために知っておきたい「SEO知識」

■SEOの原理とは?SEOとは皆さんもご存知の通り、Search Engine Optimization(サーチ・エンジン・オプティマイゼーション)の頭文字を取ったもので、日本語では「検索エンジン最適化」と表現されます。「Yahoo!」や...