WordPressサイトでの最低限のセキュリティ対策
WordPressサイトを構築する際、セキュリティに不安はありますよね。
最低限これだけはやっておいたほうがいいよってことをまとめてみました。
目次
wp-login.phpのURL変更
WordPressサイトのデフォルトのログインページの初期URLが、 https://ドメイン/wp-login.php
のようになります。
誰でも簡単にログインページにアクセスできてしまいます。
管理する人たちのみしかアクセスできないようにするべきです。
そこで、SiteGuard WP Pluginの導入しましょう。
上記プラグインをインストールすると、サイドバーにSiteGuardというメニューが出てくるようになります。
ログインページ変更をクリックして、好きなURLへと変更しましょう!
これで、設定は完了です。
ちなみに、このプラグインは、管理画面のアクセス制限、ログイン時の画像認証機能の追加、不正ログイン履歴の確認も可能です。
便利なのでこのプラグインは入れることをオススメします!
指定したIPアドレス以外の管理画面へのアクセス禁止(IP制限)
固定IPアドレスが必要になり、、ない場合は二段階認証(下記の詳細あり)など別の方法で実装しましょう。
.htaccessに以下を記載することで可能になります。
order deny,allow
deny from all
allow from 000.000.000.000
000.000.000.000には自分のIPアドレスを入力してください。
これで設定は完了です。
ちなみに、複数IPアドレスを指定したい場合は、allow fromの下に追加するだけです。
order deny,allow
deny from all
allow from 000.000.000.000
allow from 000.000.000.000
allow from 000.000.000.000
二段階認証
固定IPがない場合は、.htaccessでの制御はできないので、二段階認証をオススメします。
また、IP制限下でもより強力にする意味で二段階認証は実装しておいてもいいと思います。
Two Factor Authenticate
こちらは、Google認証システムというアプリを使うため手軽に導入できます。
また、管理者アカウントの権限ごとに利用する/利用しないというのも管理できます。
JetPack
こちらは、wordpress.comのアカウントが必要になりますが、日々のアクセス数やスパム対策も可能です。
Google Authenticator
こちらも、Google認証システムというアプリを利用して手軽に導入できます。
不要なファイル・プラグイン削除
サーバーに極力不必要なファイルを置くのはやめましょう!
特に.htaccessやwp-config.phpなど重要なファイルを、バックアップとして.htaccess_BACKUPとかwp-config.phpbackupみたいな形で残しておくのは本当にやめましょう!
万が一アクセスされたらファイル内のテキストが表示されてしまうため、重要な情報がすべて見えてしまいます。
プラグインも不要なものは、削除しておきましょう!
最低限、無効化にはしておきましょう。古いバージョンのものが動いてる万が一そのプラグインにセキュリティに問題があるバージョンが動いてる場合、被害に合う可能性があります。