WordPress導入後に必要なセキュリティ対策3選
このセキュリティ対策は必ずやっておきたい…
皆さんはサイトを攻撃された経験はありますか?
この経験がない方はセキュリティ対策なんて必要なのか…
という疑念すら抱くかもしれません。
ですが、対策をしていないということは
うちのサイトを攻撃してください
と言っているようなもので、事が起きた時には遅いのです。
- データを改ざんされてサイトを閉じるしかなくなった
- 個人情報の流出で多額の損害賠償を請求された
- 攻撃を受けてサーバーが落ちてしまった
なんてことになりかねません。
今回はWordPressを導入したらまず初めに設定して、セキュリティを強化すべきことをご紹介いたします。
WPS Hide Loginで管理者ログインパスを変更
WordPressの管理者ログイン画面はhttps://{自分のドメイン}/adminで簡単に検索できてしまいます(他のパスでも見れちゃいます)。
ログイン画面に到達できるということは総当たり攻撃できるということ。
それを防ぐためにプラグインを入れる方法が一番簡単です。
中でもおすすめはWPS Hide Loginです。
設定手順
- プラグイン追加
- WPS Hide Loginのインストール
- WPS Hide Loginを有効化
- 設定 > WPS Hide Loginで以下のURLを更新
- ログインURL
- リダイレクトURL
設定したら一度ログアウトしてパスが変更されていることを確認しましょう!
/?author=1を直接入力されたら404ページに遷移させる
こちらは管理者ログイン用のユーザーが表示される方法です。
管理者ログイン画面とこのパスを制御していないとどうなるか、もうお分かりですよね…?
あとはパスワードが分かればログインできてしまいます!
これはfunctions.phpに追記することで対処できます。
※wp-content/themes/{使用しているテーマ}/functions.phpを編集してください
※functions.phpの行初めに追加してください
追加後にhttps://{自分のドメイン}/?author=1直接入力して404ページに遷移するか検証を行ってください。
WorPressのバージョンを非表示にする
WordPressにはバージョンごとに脆弱性(弱いところ)が違います。
逆に言えばバージョンさえ明確に分かれば攻撃しやすくなります。
ちなみに何もしないとメタタグにしっかり記載されてしまいます…
これを非表示にすることで攻撃されにくくします。
CSSやJacascriptのバージョンでバレる可能性はありますが、やっておくに越したことはありません。
これもfunctions.phpに追記することで対処できます。
※wp-content/themes/{使用しているテーマ}/functions.phpを編集してください
※functions.phpの行末に追加してください
これでバージョンを明記したメタタグは非表示になります。
以上、初期設定で必要なセキュリティ対策3選でした!
これらの設定をしておけばひとまず安心してサイト運営できると思います。
おまけ↓↓↓
pタグ自動挿入機能の停止
こちらはセキュリティ対策ではありませんが、初期設定でよくやる作業なのでこちらに載せておきます。
なお、導入したテーマによっては不要な作業なので適宜試してみてください。
初期設定だと文言を全てpタグで囲う仕様になっているため、デザイン調整がかなりしにくいです。
そのため、こちらもfunctions.phpに追記することで対処できます。
※wp-content/themes/{使用しているテーマ}/functions.phpを編集してください
※functions.phpの/?author=1の後に追加してください
これでpタグの自動挿入機能が停止します。