時にWordPress で運営されているサイトがハッキングされたり、その他の被害を受けたという話を聞くことがある。
例えば、クラッキングによってWordPressのテーマファイルが変更されて検索順位が大きく下がってしまったり、スパムサイトやマルウェアへのリンクが埋め込まれて各情報を流出させられてしまったり、ログイン情報が盗まれてサイトをめちゃくちゃに荒らされてしまったり、、、。
こうしたニュースを見て、WordPressがセキュリティに弱いと思っている方も、中にはいることだろう。
しかし、そういうことが起こるのはサイト管理者の運用が雑だった場合だけだ。そのため定期的にWordPressをメンテナンスしていれば、そうした被害はほぼ防ぐことができる。
そこで、ここではWordPressの管理者が定期的にやっておくべきセキュリティチェック方法をご紹介する。これだけやっていればほぼ安心というものなので是非参考にして欲しい。
1.コンピューターを常に最新バージョンに保つ
あなたが常日頃、使用しているパソコンのオペレーティング・システムやブラウザは最新のバージョンにアップデートしておこう。最新のバージョンにすると、脆弱性(ソフトウェアの欠陥)やバグが修正されているのでセキュリティが高まる。
それぞれのアップデート方法は公式サイトに掲載されているので確認しておこう。
オペレーティング・システムのアップデート方法
ブラウザのアップデート方法
Mac OS X の既存ブラウザである「Safari」は、Mac OS X のアップデート方法のソフトウェア・アップデートより最新版にできる。
2.WordPress を常に最新バージョンに保つ
WordPress本体やプラグイン、テーマは常に最新バージョンにしておこう。
これらは最新バージョンになる度に、ハッカーに狙われるソフトウェアの欠陥やバグが修正している。そのため最新状態に保つだけでも、セキュリティは高まる。
詳しい更新方法は、『WordPressを安全に更新(アップグレード)する方法』で解説しているので一読しよう。
3.デフォルトのユーザー名から変更する
ログインユーザー名にデフォルトの「admin」を使用している場合、これを必ず別の ID 名に変更しよう。「admin」は、WordPress を使用している人なら誰でもわかるので、クラッキングされる可能性が高くなってしまう。
デフォルトユーザー名の変更方法は簡単だ。 X2サーバーを例にして解説しておこう。
まず、phpMyAdmin 画面にアクセスし、左メニューより該当のデータベース名をクリックする。
「wp_users」をクリックしよう。
「wp_users」のページにアクセスしたら、図の通り「表示」タブをクリックする。
すると現在、WordPress で管理するユーザー情報が表示される。項目「user_login」に「admin」と記載を見つけたら、図の通り「編集」ボタンをクリックしよう。
図の編集画面が表示されたら、値が「admin」と入力された箇所は、すべて新しいユーザー名に変更しよう。
次の3つのフィールドの値を変更すると良い。
- user_login
- user_nicename
- display_name
上からログイン名、ニックネーム、表示名となる。
入力が完了したら図の「実行する」をクリックすると反映される。これで完了だ。
実際に管理画面にログインできるか確認しよう。
4.編集者用ユーザーを作成する
管理者ユーザーとは別に、編集者用ユーザーを作成して、サイトデザインをいじる時は前者で、新しい記事やページを投稿する時は後者のアカウントでログインするようにしよう。
そうすることによって管理者のログイン情報が漏洩するリスクを大きく減らすことができる。
なぜならテーマにもよるが、基本的には公開した記事に作成者名が表示されてしまう。つまり、第三者に管理者のユーザー名が知られてしまい、悪用されるリスクが高くなってしまうからだ。
ユーザーの設定方法は『覚えておきたいWordPressのユーザー権限の種類と登録・管理方法』を参考にして欲しい。
簡単なのですぐに終わるはずだ。
WordPress の管理画面にログインして、左メニューより「ユーザー → 新規追加」の順にクリックする。
5.データベース情報のアクセスを制御する
WordPress の「wp-config.php」というシステムファイルは、データベースにアクセスするためのログイン情報が掲載されている重要なファイルだ。
このファイルを外部から見れなくする設定を行い、セキュリティを高める。
「.htaccess」を使うとその設定が可能だ。「.htaccess」とは、Web サーバーの動作を制御するためのファイルだ。このファイルをテキストエディタで開き、次の4行を一番上に追加しよう。
order allow,deny
deny from all
</files>
編集の際、Windows ユーザーはメモ帳を使用せず、「サクラエディタ」などのフリーのテキストエディタを使おう。不要な情報が付加されないようするためだ。
また「.htaccess」ファイルの保存場所は、インストールしたWordPressのルート直下にある。
(XAMPPで作ったローカル環境を例に挙げると「C:\Program Files\xampp\htdocs\wordpress\」の直下)
6.WordPress のバージョン情報を削除する
WordPress で危険度の高いソフトの欠陥が発見された場合、その問題に対処した新しいバージョンがリリースされる。同時にその脆弱性を突いた悪用に関する情報もいっしょに開示される。
WordPress では、ソース内にバージョン情報を知るためのタグが表示されているため、悪意あるアクセスの対象になるリスクが非常に高くなる。
このリスクを回避するには、「Head Cleaner」というプラグインを使用して、バージョン情報を非表示にする必要がある。
設定方法は、『Head Cleaner の最も理想的な設定方法』を参考にして欲しい。
7.定期的にバックアップをとる
WordPress の全てのデータのバックアップを定期的に取ることで、万が一サイトが被害を受けたとしてもバックアップデータを復元して、ゼロからの復旧は免れる。
また、被害を受けた後のサイトとバックアップデータを比較することで、どのような攻撃を受けたかを調査する時に役立つ。
バックアップ方法については、 『BackWPUpで確実にWordPressのバックアップを取る方法』を読んで実践して欲しい。
忘れずにチェックしよう
ここでご紹介した7つのセキュリティ対策は、どれも簡単にできるものだが非常に効果のあるものだ。面倒臭がらずに確実に確認するようにしておこう。
“ bazubu-shiki(バズブシキ)” とは、バズ部の運営ノウハウを凝縮した
コメントはこちらから