WordPressサイトでの最低限のセキュリティ対策

WordPressサイトを構築する際、セキュリティに不安はありますよね。

最低限これだけはやっておいたほうがいいよってことをまとめてみました。

wp-login.phpのURL変更

WordPressサイトのデフォルトのログインページの初期URLが、 https://ドメイン/wp-login.php のようになります。
誰でも簡単にログインページにアクセスできてしまいます。
管理する人たちのみしかアクセスできないようにするべきです。

そこで、SiteGuard WP Pluginの導入しましょう。

上記プラグインをインストールすると、サイドバーにSiteGuardというメニューが出てくるようになります。

ログインページ変更をクリックして、好きなURLへと変更しましょう!

これで、設定は完了です。

ちなみに、このプラグインは、管理画面のアクセス制限、ログイン時の画像認証機能の追加、不正ログイン履歴の確認も可能です。
便利なのでこのプラグインは入れることをオススメします!

指定したIPアドレス以外の管理画面へのアクセス禁止(IP制限)

固定IPアドレスが必要になり、、ない場合は二段階認証(下記の詳細あり)など別の方法で実装しましょう。

.htaccessに以下を記載することで可能になります。

order deny,allow
deny from all
allow from 000.000.000.000

000.000.000.000には自分のIPアドレスを入力してください。

これで設定は完了です。

ちなみに、複数IPアドレスを指定したい場合は、allow fromの下に追加するだけです。

order deny,allow
deny from all
allow from 000.000.000.000
allow from 000.000.000.000
allow from 000.000.000.000

二段階認証

固定IPがない場合は、.htaccessでの制御はできないので、二段階認証をオススメします。

また、IP制限下でもより強力にする意味で二段階認証は実装しておいてもいいと思います。

Two Factor Authenticate

こちらは、Google認証システムというアプリを使うため手軽に導入できます。
また、管理者アカウントの権限ごとに利用する/利用しないというのも管理できます。

JetPack

こちらは、wordpress.comのアカウントが必要になりますが、日々のアクセス数やスパム対策も可能です。

Google Authenticator

こちらも、Google認証システムというアプリを利用して手軽に導入できます。

不要なファイル・プラグイン削除

サーバーに極力不必要なファイルを置くのはやめましょう!

特に.htaccessやwp-config.phpなど重要なファイルを、バックアップとして.htaccess_BACKUPとかwp-config.phpbackupみたいな形で残しておくのは本当にやめましょう!

万が一アクセスされたらファイル内のテキストが表示されてしまうため、重要な情報がすべて見えてしまいます。

プラグインも不要なものは、削除しておきましょう!

最低限、無効化にはしておきましょう。古いバージョンのものが動いてる万が一そのプラグインにセキュリティに問題があるバージョンが動いてる場合、被害に合う可能性があります。

About Me

プロフィール画像

ユーキと申します。北海道恵庭市という札幌と新千歳空港の間でフリーランスのWebエンジニアとして活動してます。

当サイトのブログでは、主にWeb制作全般、フリーランス周りの情報など色々なノウハウや知識を載せています。
その他日々気になったこと、思ったことも書いてます。

お仕事の相談など何かありましたら、お問い合わせかツイッターのDMからお気軽にご連絡くださいませ。

お問い合わせはこちら

ツイッターはこちら

ポートフォリオはこちら

Latest Posts

Popular Posts

TOP