自分でできるWordPressセキュリティ

WordPressセキュリティ

あなたはサイトのセキュリティについてどのような意識や対策を行っていますか?

昨日2015年1月22日、夜のテレビニュースで、楽天ショッピングにて不正に入手したアカウントで買い物をした男が逮捕されたというニュースがありました。

この男、楽天のサイトではセキュリティが固くアカウント入手ができないため、どうやらセキュリティの甘い地方の物産販売サイトから入手したようです。

アカウントを使いまわしているユーザーを狙った犯行のようです。

このような事件もあり、本日はWordPressで運用しているサイトやブログのセキュリティについてのお役立ち情報を書かせていただきました。

▼自分でできるWordPressセキュリティ5つのポイント

–目次–

1. ユーザーアカウント名を admin やドメイン名ではなく、ユニークなものにする
2. パスワードをランダムな英数字10桁以上にする
3. 海外のIPアドレスからの管理画面へのアクセスを制限する
4. 複数回パスワードを間違えたら一定時間ログイン出来ないようなプラグインを利用する
5. ファイルのパーミッションを適切に設定する(WordPress側から書き換えら
———
1. ユーザーアカウント名を admin やドメイン名ではなく、ユニークなものにする

推測されやすい名や、デフォルトのままでは危険です。
あなたが太郎という名前なら、tarotarotaroooなどユニークなものにしましょう。

2. パスワードをランダムな英数字10桁以上にする

パスワードジェネレータなどでランダムに作成したパスワードなどを使用しましょう。
パスワードジェネレーターで検索すればすぐにいくつかのサイトが出てくると思います。

3. 海外IPからの管理画面アクセスを制限する

不正アクセスを行うシステムの9割は国外からのアクセスになるため、管理画面へのアクセスを.htaccesなどを用いて、日本国外からのアクセスを防ぐことで、不正なプログラムが管理画面にアクセスすると言うことを防ぐことができます。

下記サイトから制限するための.htaccessをダウンロードできます。
http://www.cgis.biz/tools/access/

4. 複数回パスワードを間違えたら一定時間ログイン出来ないようにする

下記プラグインをダウンロードして適用します。
https://wordpress.org/plugins/simple-login-lockdown/

初期設定では5回以上パスワードを間違えると60分間ログインが出来なくなります。

5. ファイルのパーミッションを適切に設定する

WordPressから変更を可能にするファイルはパーミッションを0666(ディレクトリは0777)にし、それ以外のファイルは0644(ディレクトリの場合は0744)に設定しておくことで、WordPress側からの編集を防ぐことができます。

※サーバーによって推奨設定が違う場合があるためレンタルサーバーの場合には、 サーバーの仕様などを確認してください。

以上が僕たちが推奨する
WordPressセキュリティ、5つのポイントです。

改ざん経験は僕たち自身もありましたし、クライアントからも「改ざんされた」と多々相談を受けています。

今回は「自分でもできるセキュリティ強化の内容」
としてまとめてみましたので、ご自身、またはクライアントのサイト及びブログの
セキュリティ強化を図ってみてください!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

ABOUTこの記事をかいた人

インスパイアデザインの取締役兼、エンジニア。WordPressのテーマ・プラグイン開発を年間100件以上、独自のフレームワークを用いて開発をしています。