今更ながら、ワードプレスで行っておくべきセキュリティ対策6つ プラスα

スポンサーリンク
ワードプレスのセキュリティ対策 カスタマイズ

ワードプレスは世界で一番使用されているCMSです。その為、ハッカーの目標となる可能性も他のCMSより高くなってきます。ハッカーに対する備えは日頃から行っておく必要があります。

スポンサーリンク

ハッカーに対する備えとは

ハッカーに対する備えといっても色々な方法があると思います。

その中でもワードプレスを使うに当たって効果がありそうな対策を紹介します。

ワードプレスのバージョンは常に最新版にしておく

ワードプレスのバージョンですが機能的なバージョンアップも行っていますが、セキュリティ的なバージョンアップも常に行われています。セキュリティの事を考えれば最新のバージョンを手に入れておくことは必要だと思います。

投稿記事にphpコードを入れない

これは投稿記事にphpコードやそれに対応するプラグインを入れることによってデータベース接続のアカウントが表示されたりすることを防ぐために必要です。そのような必要性が出てきた場合はなるべくショートコードを使用することで対応しましょう。

ID・パスワードの強度を上げる

IDにはadminを使わないのは当たり前でパスワードにも記号を入れたりしてID・パスワードの難解度を高めましょう。

例えば「!」や「+」、「&」などの記号を積極的に使っていくことをお勧めします。

サイト名から想像できるパスワードを使うことも厳禁です。

また、パスワードの管理は厳重に。間違って共有フォルダ等に入れておくといろんな形で閲覧される可能性が出てきます。

PCにはウィルスソフトを入れておく

使用しているPCがウィルスにやられるとID・パスワードが外部に流出する可能性が出てきます。

当たり前の事ですがウィルスソフトは入れるのは常識でちゃんと運用できているか、アップデートはされているかまで気を使うことが必要です。

怪しいテーマやプラグインは使用しない

出所がはっきりしないテーマやプラグインは使用しないようにしましょう。

テーマやプラグインの中に外部接続可能なコードが仕込まれていたりする可能性は否定できません。

基本、wordpress.orgに掲載されているテーマやプラグインは問題ないと思うので、その中から選ぶのが賢明です。

どうしても使いたい場合は自己責任で。ただ、どうしても使わなければいけない必要性が出てきた時には、Theme-Checkプラグイン、もしくはPlugin-Checkプラグインを使用してチェックを行うことをお勧めします。

ただ、この2つのプラグインを使う際にはデバッグモードを有効にして使用するためにデバッグ情報が見える可能性があります。使用する場合はローカル環境で行ってください。

FTPは使用せず、SFTPやFTPSを使用する

FTPは基本、IDやパスワードは平文で使われています。その為、昔からハッキングに遭いやすい状況にあります。
FTPの暗号を盗み出すウィルスも見つけられています。

なのでSFTPやFTPSを使えるサーバーであればFTPは使わないようにして、積極的にSFTP、FTPSを使うようにしましょう。

SFTP、FTPSは通信が暗号化されているのでID・パスワードを傍受される可能性は低くなっており安全度が増します。

セキュリティの追加項目

上記6項目以外にも新しく追加すべき項目や忘れていた対策等を追記しておきます。

ワードプレスのバージョン表示をやめる(追記:2014.7.7)

ワードプレスのバージョン表示ですが、これも古いバージョンや、セキュリティホールが見つかっているバージョンだと狙われる可能性があります。
functions.phpに下記コードの追加を行って、バージョンをヘッダー部分に表示するのを止めておきましょう。

remove_action('wp_head','wp_generator');

最後に

これらの対策を行ってもトラブルが出る可能性は当然、あります。2013年でいえばロリポップサーバーの自動インストールの仕組みを利用することによってセキュリティホールがつくられ、トラブルが発生することもありました。その為にもセキュリティは3重、4重にして自分自身で守ることが大事です!

コメント