設定の見直しとプラグインで簡単に強化できる WordPressセキュリティ施策

ブログサイトはもちろん、コーポレートサイトやサービスサイトのCMSとして利用するにも便利なWordPressですが、その利用サイトの増大に伴い、不正アクセスや悪用を試みる攻撃も増えてきています。

そこで今回は、既に運用中のWordPrssサイトで実行できるセキュリティの強化施策として、基本機能の中で対応できる対策と、無料プラグインなどでの対策方法に絞って紹介していきます。

記事の索引

1 基本な対策
2 プラグインを利用したセキュリティ向上施策
- 2.1 ログイン時の2段階認証を導入する
- 2.2 スパムや悪意のあるログインを防ぐ総合プラグインを導入する
3 まとめ

基本な対策

まずは、プラグインは不要、WordPressの基本的な設定やちょっとした作業で非常に効果があるセキュリティ向上施策をご紹介します。

ユーザー名に『admin』を使用しているアカウントを変更する

管理者権限をもつ、ユーザー名（ログインID)を『admin』を使ったアカウントを利用している場合、IDとパスワードの総当たり攻撃（ブルートフォースアタック）に対して脆弱になります。

WordPressではユーザーIDは変更できませんが、その場合は新しく管理権限のある別のIDを作成し、新しいIDでログイン後に、古い『admin』名のアカウントを削除するだけです。

この手順の中で、古いアカウントで作成した記事や固定ページなどを別のアカウントの所有者として引き継がせる事ができますので、殆ど手間はかかりません。

パスワードを強化する

こちらも簡単。WordPressサイトに限らずパスワードを強化する事は、単純ながら十分な効果が有ります。

Passwordとかアカウントと同じ語句を使っていたりといったものは、総当たり攻撃に対して脆弱です。パスワードは管理画面のユーザー設定から変更可能なので、最低でも英数大文字小文字が混在したものに変更しましょう。

最新のWordPressではパスワードの自動生成やセキュリティ強度もチェックできるので「強力」なパスワードにすれば万全です。

.htaccessやwp-config.phpへのアクセスを制限する

WordPrssに限りませんが、.htaccessファイルや設定ファイルへのアクセスを制限する事は重要です。

下記のような記述をサイトルートの.htaccessに追記する事で対応が可能です。

<files wp-config.php>
order allow,deny
deny from all
</files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

ただし、利用サーバーの設定や機能によっては記述は異なります。また、正しく設定しないと、サーバーエラーなどでサイト全体にアクセスできなくなる事がありますので、必ず公開中の.htaccessファイルをバックアップの上、設定を行いましょう。

運用者の権限を必要最低限に変更する

複数人、多人数でWordPressで構築されたサイトを運用する場合、それぞれ別のアカウントを用意し、権限を最小限に絞って運用しましょう。

記事を投稿するだけのユーザーに、設定やプラグイン、テーマなどの編集機能は不要な場合が多いのでそういったユーザーに『管理者』権限は不要です。デフォルトの権限グループの設定として『投稿者』や『編集者』といったものを設定出来るユーザーレベルを利用しましょう。

独断でプラグインをインストールされてしまったり、不慮の操作で致命的な辞退になってしまったりと、管理者が不要なメンテナンスや労力を強いられるのを防ぐのにも有効です。

参考ユーザーの種類と権限 – WordPress Codex 日本語版

権限についてより細かい設定が必要な場合、function.php の編集や、プラグインなどを利用する事で可能です。

Function Reference/add cap -WordPress Codex(英語）
WordPressプラグイン User Role Editor

管理画面からのテーマやプラグインの編集を無効に

WordPressは管理画面からテーマやプラグインのコードを編集する事が可能です。
（一見便利な様ですが、この機能を実際に利用している人ってどれ位いるのでしょうか？）

万が一、悪意あるアクセスにより管理画面へされてしまった場合、この機能は攻撃者にとっては非常に有用な機能です。

この機能を無効にするのも非常に簡単です。

define('DISALLOW_FILE_EDIT', true);

と記述をするだけでOK。

編集が必要な時は、ローカル環境でカスタマイズし、FTPなどでアップロードするというオペレーションを行っている方なら、ほぼ影響は無いでしょう。

不慮の操作で……というリスクも軽減するので是非適用しましょう。

不要なテーマをサーバー上から削除する

ご存じのようにWordPressでは管理画面からテーマを切り替える事が可能です。

また、インストール時にはTwenty Seventeen、Twenty Sixteenなど毎年新しいデフォルトテーマが自動的にインストールされていますし、管理画面から新しテーマを検索し簡単に導入する事もできるので、つい使用していないテーマがインストールされたまま、という方も多いかもしれません。

ですが、テーマによってはそもそもセキュリティ上のリスクが有る物や、新たにセキュリティーホール発見により致命的な脆弱性を孕んでいるものなどもあります。これはWordPressのデフォルトテーマであっても同様です。

特に企業にCMSとして導入されるWordPressであれば、メインテーマ意外はほぼ不要となる事が多いはずですので、不要なテーマはサーバー上から削除してしまいましょう。

削除は管理画面からも行えますが、保存しておきたい場合はFTPでアクセスし

/wpインストールディレクトリ/wp-content/themes/

にアクセスし、ローカル環境に保存の上、削除しておけば万全です。

不要なプラグインをサーバー上から削除する

こちらも同様に、一時的に利用したプラグインや、動作テストやレビューの為にインストールしたプラグインもサーバー上から削除しておきましょう。

管理画面から『無効』にするだけでは不正に実行される可能性がありますので、削除してしまう方がより安全です。

必要な時に『必要なプログラムだけをサーバー上にインストールし、不要プログラムは削除する』というのはwebサイトの運営上の基本的かつ重要な方針です。

プログラム本体やプラグイン、テーマは常に最新版にする

基本中の基本ですが、プラグインやテーマ、そしてWordPress本体については常に最新のバージョンを利用する事を心がけましょう。

WordPressは管理画面へバージョンアップ通知表示される優秀なシステムですので、これを無視せず、小まめにアップデートしましょう。前述した不要なテーマやプラグインを削除する事でアップデートの手間も軽減されますし、カスタマイズを行っていないテーマやプラグインやであれば、影響が出る事は少ないでしょう。

反面、WordPressの本体のアップデートがなどについては念のためDBのバックアップをとる事が推奨されていますし、テーマやプラグイン、独自のカスタマイズ内容によってはアップデート後の修正が必要な場合もあります。高度なカスタマイズを行ったサイトであれば、構築した制作者、制作会社に相談し、定期的な保守管理を行うべきです。