YU-Create-Lab for Web Creator Webクリエイター・Webデザイナー向けの優クリ-Lab

2019.05.10

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

前回に引き続き、今回も不正アクセスなどのセキュリティ対策をするために確認しておきたいことをご紹介します。
ただ、今回は上級編にはなりますので、少し複雑になっており、コードを触る部分もありますので、難しいと感じた場合は、コーダーの方に協力してもらいやってみましょう。

〈Check1〉「wp-config.php」へのアクセスは制御する

 「wp-config.php」はWordPressのシステムファイルの1つで非常に重要なファイルになります。

セキュリティーレベルも非常に高いファイルの一つでもあり、「wp-config.php」はデータベースへのアカウント情報が書き込まれているため、これが漏洩してしまうとデータベースを直接書き換えやデータベースにある個人情報を盗み出すことができ、情報の改ざん・情報漏洩に繋がってしまうからです。

「wp-config.php」へのセキュリティ対策として、必要なのが外部からのアクセスを不可にして、ファイルへのアクセス権限であるパーミッションも一番厳しくする必要があります。

方法として、WordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで外部からのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>


また、パーミッションの設定は「400」にしておくことで、管理者のみ「読み取り」権限になりますので、不要なアクセスを避けることが出来ます。

 

〈Check2〉管理画面へのIP制限で不正アクセスを防ぐ

こちらは固定IPを使用している場合のセキュリティ対策にはなりますが、IPアドレスをWordPressのシステムファイルである「wp-login.php」「wp-admin」に対し制限をかけることが出来ます。

例えば、自分のIPアドレスが「ABC.ABC.ABC.ABC」で固定されているのであれば、「ABC.ABC.ABC.ABC」からのみのアクセスを許可する事が出来ます。

それ以外のIPアドレスだとWordPressのログイン画面にアクセス出来ないので、不正ログインを防ぐことになります。

方法は、上記同様にWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで指定したIPアドレスからのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
</FilesMatch>


また、指定したIPアドレスが複数ある場合は、「allow from」の行を複数作ることで複数のIPアドレスを指定することが出来ます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
  allow from def.def.def.def
  allow from ghi.ghi.ghi.ghi
</FilesMatch>


 

〈Check3〉XML-RPCへのアクセスは遮断する

MXL-RPCとは、(Extensible Markup Language – Remote Procedure Call)の略になり、WordPressを外部から操作するための仕組みになります。

デフォルトだと外部からアクセスできることになっているのですが、この仕組みがDDos攻撃などのWebサイトへの攻撃の的になったりします。セキュリティ対策をする上でもこういった攻撃からWebサイトを守ることは会社の信頼にも繋がります。
MXL-RPCを使用する必要がないのであればアクセス制限をかけておくことがおすすめです。

こちらもWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで無効にすることができます。


</IfModule>
# END WordPress

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
</Files>

 

まとめ

今回ご紹介したセキュリティ対策は少し難しい内容もありましたが、どのセキュリティ対策も必要なものでWebサイトの情報を守るためには非常に重要な対策になります。

セキュリティ対策をしていないがためにWebサイトの機密情報や個人の登録情報などを管理している場合、顧客情報が漏れてしまうと大きな問題になってしまいます。

そうならないためにもまずは出来るセキュリティ対策をしっかり行うようにしましょう。
少し難しいと感じている方はコーダーの方と一緒に対応をしましょう。

その他WordPress関連記事はこちら
【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」
【WordPress】  意外と見落としがちな4つのセキュリティ対策~初級編~

Recommend この記事を読んだ人はこんな記事も読んでいます

【ワイヤーフレーム】Webディレクターがワイヤーフレーム作成で必ず押さえたいポイント!

2019.11.15

【ワイヤーフレーム】Webディレクターがワイヤーフレーム作成で必ず押さえたいポイント!

■ワイヤーフレームの目的は「デザインではない」 ワイヤーフレームを作る時に誰しもが1度は陥ってしまうと思われるのが『デザインを考え始めてしまい、ワイヤーフレーム作成が進まない』ということ。ワイヤーフレームを作る目的として、サイト制作に必...

【ブックマーク必須!!】Web制作で使いたい『お役立ちサイト』

2019.10.30

【ブックマーク必須!!】Web制作で使いたい『お役立ちサイト』

■ダミー画像作成をするなら『placehold.jp』「フレームワーク」ができて「モックアップ」用のダミー画像をいれる時、どのような方法をとっているでしょうか。ちなみに「モックアップ」は、ページの骨組みであるワイヤーフレームの後、それ...

【コーディングチェック】Web制作で納品前に使えるコーディングの便利ツール!

2019.10.01

【コーディングチェック】Web制作で納品前に使えるコーディングの便利ツール!

■「HTML・CSS」を同時にチェック「Dirty Markup」は、「HTML・CSS」を併せてチェックできるツール。とてもモダンで見やすく、使い勝手のよいオンラインチェックツールです。特徴は何といっても、汚いコード部分をキレイに整形...

【資格】フリーランスWebクリエイターが資格取得するメリット~後編~

2019.09.13

【資格】フリーランスWebクリエイターが資格取得するメリット~後編~

■前編はこちら【資格】フリーランスのWebクリエイターが資格取得するメリット~前編~■資格取得前にキャリアアップの形成計画フリーランスが「資格取得」を最大限に有効活用する上で、まずやらなければならないことがキャリアアップやフリーランス...

【資格】フリーランスWebクリエイターが資格取得するメリット~前編~

2019.09.09

【資格】フリーランスWebクリエイターが資格取得するメリット~前編~

■後編はこちら【資格】フリーランスWebクリエイターが資格取得するメリット~後編~■フリーランスと「資格」の関係「会社」という枠から離れたフリーランス活動で大切なことのひとつに 「現状に満足しない」ことが挙げられます。「資格取得」と何の...

【Adobe XD活用】Webディレクターに使ってほしい分かりやすいイメージ共有法 ~前編~

2019.08.30

【Adobe XD活用】Webディレクターに使ってほしい分かりやすいイメージ共有法 ~前編~

■Webディレクターの仕事効率アップ!! 覚えて損はない『Adobe XD』現在、Webディレクターをやっている方でもし「Adobe XD」を知らないなら、是非、この機会に覚えておくとよいでしょう。Adobe XDを使いこなせるだけで、作り...