WordPressはオープンソースのCMSであり、多くの脆弱性が発見されやすい特徴があります。また、この脆弱性を狙って世界中のハッカーが他人のWordPressに不正にアクセスを行うことで、被害にあう例が増えています。
今回は、サーバーにWordPressを導入する上で最低限やっておきたいセキュリティ対策を紹介します。
WordPressのバージョンやプラグインは最新版にしておく
WordPressでは、脆弱性が発見された場合、その都度最新バージョンを提供しています。最新バージョンが提供された場合、ダッシュボードの左上に「通知」が表示されます。
常に最新バージョンにしておくことで、脆弱性を修正され、バージョンを古いまま使用していることと比べると、格段にリスクを減らせます。
また、プラグインについても同様に最新バージョンにしておくことをおすすめします。
ログインIDとパスワードはセキュアなものに設定する
WordPressの管理画面にログインする際に使用する、ログインIDとパスワードはセキュアなものに設定しておきます。
デフォルトのログインIDが「Admin」となっていますが、このままではパスワードを解析された場合、第三者が安易に管理画面にアクセスできる可能性がありますので、必ず変更しておきます。
パスワードについては、英数字を混合させた8文字以上の文字列に設定しておきます。8文字未満だとハッキングされるリスクが高まります。パスワードを設定する際の文字列は、氏名や生年月日、英単語など第三者が容易に予想しやすい文字列ではなく、無意味な文字列に設定しておきます。
使用しないプラグインは削除する
WordPressには、多種多様のプラグインがリリースされていますが、デフォルトで入っていて使っていないプラグインやインストールして使っていないプラグインは削除しておくことをおすすめします。
削除することで、サーバーへの容量を増やすことに加え、使っていないプラグインに脆弱性が発生した場合、その脆弱性が狙われるリスクが存在します。
「wp-config.php」への外部アクセスを抑制する
WordPressのデータベース上のアカウント情報が記載されている「wp-config.php」は、WordPressを利用する上で最も重要な情報であるため、セキュリティを常に高くしておく必要があります。
このファイルが、ハッカーに狙われた場合、データベースごと操作されるリスクが潜んでいますので、必ず、外部からのアクセスを抑制し、パーミッションレベルも厳しく設定する必要があります。
手順
1.「wp-config.php」と同じ階層にある「.htaccess」ファイルを開く。
2.「.htaccess」ファイルに以下の内容を記載する。
order allow,deny
deny from all
3.最後に「wp-config.php」のパーミッションを「400」に設定します。
