WordPressでサイトを運用していく上で、大きなリスクとしては第三者による悪用です。2016年5月28日の「WordPressを使う上で知っておきたいハッカーの悪用手段」で具体的にどの様な手段を講じて行われるのか紹介しました。
今回は、ハッカーの悪用手段に基いて、WordPressのセキュリティ対策プラグイン「All In One WP Security & Firewall」を利用してセキュリティを強化する方法をお伝えします。
コメント投稿を抑制する
WordPressでサイト運用していく上で、一番厄介なのがスパムコメントの投稿です。コンテンツへの影響は小さいですが、サーバーに負荷がかかり自身のサイトの表示速度が遅くなる、また、レンタルサーバーで共有している他のユーザーが管理しているサイトの表示速度が遅くなるなど他人へ影響を及ぼしてしまいます。
コメント投稿を抑制するには「All In One WP Security & Firewall」の「Spam Prevention」より設定ができます。「WP Security」→「Spam Prevention」をクリックし、「Comment SPAM」タブを選択します。
「Add Captcha To Comments Form」では、コメント投稿欄に簡単な足し算を入力するフォームを設置します。プログラムによって作成されたボットでは、文字列を入力することは可能でも、表示された足し算の答えを入力することはできません。この機能を有効にするには「Enable Captcha On Comment Forms」にチェックを入れます。
「Block Spambot Comments」では、プログラムによって自動で生成された文字列を入力するボットを抑制する機能です。この機能を有効にするには「Block Spambot From Posting Comments」にチェックを入れます。
WordPress管理画面のURLを変更する
WordPressのログイン画面は、「wp-login.php」をURLに付加することで、誰でも簡単にアクセスできてしまいます。そこで、第3者がアクセスできないよう、ログイン画面のURLを変更することで、第三者がアクセスできないようにします。
「WP Security」→「Brute Force」をクリックし、「Rename Login Page」タブを選択します。「Rename Login Page Settings」内の「Enable Rename Login Page Feature」のチェックボックスを有効にします。
続いて、「Login Page URL」のテキストボックスに任意のURLを入力します。
Pingback機能を無効にする
Pingback機能を利用して、外部サイトのDDos攻撃を仕掛けられるリスクがあります。そのため、サイト運営上必要が無ければ、Pingback機能を無効にします。
「WP Security」→「Firewall」をクリックし、「Basic Firewall Rules」タブを選択します。その中の「WordPress Pingback Vulnerability Protection」の「Enable Pingback Protection」にチェックを入れます。