WordPressは素人には難しい危険なツール

WordPress というブログツールはオープンソースでインストールも簡単なので、ブログをスタートする敷居が低い。

インストーラーがあるのでFTPでウェブサーバーにアップロードして、インストーラーにアクセスすればデータベース(MySQL)の準備が終わっていれば5分もかからずセットアップができます。

しかし、WordPress はオープンソースが故にソースコードが丸見えであり、世界的にシェア率が高いため常にハッカーに狙われるマトになっています(仕事でハッカーの踏み台にされてるウェブサーバの殆どがWordPress入ってるサーバーだったのを生でみているので怖いですよ、ほんと)。

試しに Google で「wordpress セキュリティーホール」で検索かけると怖い記事がいろいろ出てきます。

このブログも WordPress で動いています。
一昨日セットアップしたばかりです(それまではてなブログで書いてました)。

久しぶりに WordPress を利用することになったので、今回のセットアップで気をつけた注意点を下記にまとめます。

お仕事で WordPress を使って開発されている方には「これもした方がいいよ」とか、「これはコッチがいい」とかコメントでアドバイスいただければ幸いです。

個人でなんとなく WordPress 使おうかなって思ってる人は自分ができそうか、やめた方がいいか判断する材料にしていただければと思います。

最低限設定した WordPress のセキュリティ対策

  1. WordPress, 初期プラグラインを WordPress の管理画面で最新バージョンにアップデートにする。
  2. WordPress に入っている初期ユーザーは管理画面から削除。
  3. WordPress で新しく登録したユーザーのパスワードをユニークで10桁以上のパスワードに設定。
  4.  WordPressの「外観 > ウィジェット > ブログサイドバー」から「メタ情報」を外す(ログイン画面へのリンクなどが晒されるのが気持ち悪いので)。
  5. .htaccessファイルで wp-config.php, wp-mail.php, install.php への外部からのアクセスができないようにしています(install.php は削除しなさいという意見もありますが、アップデートすると復元するという話を聞きました)。
  6. .htaccess, wp-config.php , 各種ファイル、各種フォルダのパーミッションを然るべき値にする(例えば、ファイルは604、フォルダは705にしなさいというあれです)。
  7. MySQL の管理ツール phpMyAdmin をインストール。
  8. MySQL に WordPress 以外のテーブルやユーザーが居ないことを確認。必要ない初期テーブルや初期ユーザーがいれば削除する。
  9. セットアップが完了したらサイト全体の全量バックアップを行う。
  10. 個人的に MySQL にデータベースから WordPress のコンテンツデータなども抜き出しておきます(phpMyAdminを使います)。
  11. SSL の導入。それに伴うリダイレクト設定と、WordPress の設定変更など。

ざっと、これぐらいに気を使いました。

3年ぶりに WordPress を触り始めたので足りないところがあったら教えてください。

セキュリティ強化のためのプラグインとかも検討して1度いれたんですが、面倒になったので今はいれて居ません。

取り敢えず wp-login.php か wp-admin に BASIC認証をかける作業を現在、調査中です(プラグイン使わずに)。

安全な WordPress ライフをみなさんお過ごしください。

最後までお読みいただきありがとうございました。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です