YU-Create-Lab for Web Creator Webクリエイター・Webデザイナー向けの優クリ-Lab

2019.05.10

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

前回に引き続き、今回も不正アクセスなどのセキュリティ対策をするために確認しておきたいことをご紹介します。
ただ、今回は上級編にはなりますので、少し複雑になっており、コードを触る部分もありますので、難しいと感じた場合は、コーダーの方に協力してもらいやってみましょう。

〈Check1〉「wp-config.php」へのアクセスは制御する

 「wp-config.php」はWordPressのシステムファイルの1つで非常に重要なファイルになります。

セキュリティーレベルも非常に高いファイルの一つでもあり、「wp-config.php」はデータベースへのアカウント情報が書き込まれているため、これが漏洩してしまうとデータベースを直接書き換えやデータベースにある個人情報を盗み出すことができ、情報の改ざん・情報漏洩に繋がってしまうからです。

「wp-config.php」へのセキュリティ対策として、必要なのが外部からのアクセスを不可にして、ファイルへのアクセス権限であるパーミッションも一番厳しくする必要があります。

方法として、WordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで外部からのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>


また、パーミッションの設定は「400」にしておくことで、管理者のみ「読み取り」権限になりますので、不要なアクセスを避けることが出来ます。

 

〈Check2〉管理画面へのIP制限で不正アクセスを防ぐ

こちらは固定IPを使用している場合のセキュリティ対策にはなりますが、IPアドレスをWordPressのシステムファイルである「wp-login.php」「wp-admin」に対し制限をかけることが出来ます。

例えば、自分のIPアドレスが「ABC.ABC.ABC.ABC」で固定されているのであれば、「ABC.ABC.ABC.ABC」からのみのアクセスを許可する事が出来ます。

それ以外のIPアドレスだとWordPressのログイン画面にアクセス出来ないので、不正ログインを防ぐことになります。

方法は、上記同様にWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで指定したIPアドレスからのアクセスを不可にすることができます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
</FilesMatch>


また、指定したIPアドレスが複数ある場合は、「allow from」の行を複数作ることで複数のIPアドレスを指定することが出来ます。


</IfModule>
# END WordPress

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from ABC.ABC.ABC.ABC
  allow from def.def.def.def
  allow from ghi.ghi.ghi.ghi
</FilesMatch>


 

〈Check3〉XML-RPCへのアクセスは遮断する

MXL-RPCとは、(Extensible Markup Language – Remote Procedure Call)の略になり、WordPressを外部から操作するための仕組みになります。

デフォルトだと外部からアクセスできることになっているのですが、この仕組みがDDos攻撃などのWebサイトへの攻撃の的になったりします。セキュリティ対策をする上でもこういった攻撃からWebサイトを守ることは会社の信頼にも繋がります。
MXL-RPCを使用する必要がないのであればアクセス制限をかけておくことがおすすめです。

こちらもWordPressのシステムファイル内にある、.htaccessファイル内の”# END WordPress”のあとに以下の内容を記述することで無効にすることができます。


</IfModule>
# END WordPress

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
</Files>

 

まとめ

今回ご紹介したセキュリティ対策は少し難しい内容もありましたが、どのセキュリティ対策も必要なものでWebサイトの情報を守るためには非常に重要な対策になります。

セキュリティ対策をしていないがためにWebサイトの機密情報や個人の登録情報などを管理している場合、顧客情報が漏れてしまうと大きな問題になってしまいます。

そうならないためにもまずは出来るセキュリティ対策をしっかり行うようにしましょう。
少し難しいと感じている方はコーダーの方と一緒に対応をしましょう。

その他WordPress関連記事はこちら
【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」
【WordPress】  意外と見落としがちな4つのセキュリティ対策~初級編~

Recommend この記事を読んだ人はこんな記事も読んでいます

【業務効率化】Webディレクター必見のGoogle検索新機能!

2019.08.15

【業務効率化】Webディレクター必見のGoogle検索新機能!

■Googleの新機能「アクティビティカード」とは?「アクティビティカード」とは、ユーザーが検索した過去のトピックスに再度アクセスしやすいように、一連の検索履歴をまとめて参照できる機能です。例えば、「旅行・ハワイ・シュノーケリング」と...

【ケアレスミス防止】「モデリング&TOTE」でミスを減らす方法!

2019.08.01

【ケアレスミス防止】「モデリング&TOTE」でミスを減らす方法!

■ミスを繰り返すのは、実は…単なる自己暗示だった!?「あのWebデザイナー、センスがあっていつもいいデザインを上げてくれるんだけど、なぜか細かいミスが多いんだよね。性格が大雑把?なのかな…」このセリフにドキ...

【トラブル回避】「返信が苦痛…!?」連絡ツール利用時のトラブルとその解決法

2019.07.05

【トラブル回避】「返信が苦痛…!?」連絡ツール利用時のトラブルとその解決法

■電話に出たら最後…。緊急事案かどうかは後から判断すべし!!会社員の場合、業務時間外なら仕事の連絡が入ってきても対応する義務はありません。反面、「してはいけない」という禁止もなく、勤務時間外に電話やメッセージに対応する程...

【ARアプリ5選】「拡張現実」をスマホで気軽に体験!遂にここまで来た欧米のARアプリ

2019.06.21

【ARアプリ5選】「拡張現実」をスマホで気軽に体験!遂にここまで来た欧米のARアプリ

■あらゆるインテリアのシミュレーションができる「The Houzz」家具はもちろん、電気スタンドなどや小物・壁紙などの内装アイテムを組み合わせ、インテリアやレイアウトを変更してバーチャル上でルームデザインがお試しできるアプリ「The Ho...

2019.04.26

【WordPress】 意外と見落としがちな4つのセキュリティ対策~初級編~

■〈Check1〉WordPress本体の「バージョン」は常に最新状態か?WordPressのセキュリティに関する中でも、一番最初に見た方がよいのがWordPress本体そのものの「バージョン」です。WordPressには脆弱性の対策...

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

2019.04.15

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

■おすすめ「プラグイン1」国産プラグインで安心して使える「SiteGuard WP Plugin」 WordPressのセキュリティ対策プラグインとしては定番の「SiteGuard WP Plugin」。日本のセキュリティ会社「JP-Secur...