インソースマーケティングデザイン
2014.10.16 ディレクション
WordPressのセキュリティについて
ディレクターやっています籐です。
今日はちょっと真面目な話で、「WordPressのセキュリティ」についてを・・
最近、WordPressを利用したサイト制作後に、サイトが改ざんされてしまったとか、
踏み台にされてしまったとか、WordPressが狙われ被害にあってしまったという怖い話しを耳にします。
実際、私のまわりでも、こういった事件が起こっていて、結構身近に起こる問題なんだということを実感してます。
だからといって、WordPressを使わなければいいじゃないかというのも違う気がしていて、
WordPressに限った話ではないですが、やはりセキュリティ対策はやっていおいたほうがいいのではないかということですよね。
ということで、僕が個人的にやってみたWordPressのセキュリティ対策についてをご紹介。
セキュリティ対策と聞くと、「なんか面倒臭そう」「難しそう」って気がしますが、
基礎的なところで、「ログイン画面へのアクセス制限」「ブルートフォースアタック(総当たり攻撃)への対策」
この2つをやってみました。
「ログイン画面へのアクセス制限」については、
ベーシック認証で「wp-login.php」と「xmlrpc.php」にはアクセス出来ないようにしてやりました。
ベーシック認証のhtaccessの中身はこんな感じです。
これを、「wp-login.php」と「xmlrpc.php」があるディレクトリへ設置します。
[sourcecode language=”plain”]
<Files ~ "^.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile /hogehoge/www/hogehoge/.htpasswd ←設置したhtpasswdへのパス
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
order deny,allow
<Files ~ (wp-login.php|xmlrpc.php)>
require valid-user
</Files>
[/sourcecode]
とりあえずこれで、ログイン画面は閲覧できなくなったのでちょっと安心。
他にも、IPによるアクセス制限にしてしまうという方法もあるようです。
「ブルートフォースアタック(総当たり攻撃)への対策」については
ログインの試行回数を制限するというプラグインをいれてやりました。
要するに、例えば3回パスワードを間違えたらそれ以上ログインを試みることができなくなるやつです。
僕が導入したのは「Simple Login Lockdown(http://goo.gl/ysgJwO)」というプラグインです。
設定画面は英語なのでちょっととっつきにくいですが、
ありがたく解説して頂いてる方が結構いらっしゃったので参考にさせていただきました。
Login LockDownでWordPressのセキュリティを強化する
WordPressプラグイン『Simple Login Lockdown』で管理画面への不正アクセスを防ごう。
これで、仮に特定ユーザー名でパスワードの総当り攻撃をされてもなんとかなるかもしれません。
当然パスワードは小文字、大文字、数字を組み合わせた8文字以上がいいですよね。
ちなみに、小文字、大文字いずれかで6文字程度の場合は5分間~程度で解読されるらしいです。
性能の良いPCならもっと早いのかもしれませんね。
(参考Wikipedia:http://goo.gl/NTQoy)
あと、ユーザー名を「admin」とか「test」とか「URLの一部」なんかにしてる場合は
予測されやすいのでやめたほうがよさそうですね。
ところで、パスワードを8文字以上にするって結構たいへんですよね。
それは、自分でも覚えられないってことです。(^_^;)
そこで僕は日本語をローマ字として設定する技を覚えました。
こんな感じです。
Bokunonamaehatodesukotoshide39Desu
日本人ならではのパスワードのつけかたですよね。重宝してます。
他にもやっていおいたほうがいいセキュリティ対策がありますので、
「WordPress セキュリティ対策」とググってみるといいかもしれませんね。
あとは、WordPress Codexにも「安全性を高める」という案内があるので見ておくとためになりますね。
http://goo.gl/Vp9Uq