WordPressは脆弱性の塊!改ざん・ハッキング対策10か条

WordPressは脆弱性の塊!改ざん・ハッキング対策10か条

こんにちは宮川(@miyakawa2449)です。

ブログツールとして WordPress は非常に世界シェアが高く利用しやすいツールですね。
しかし、WordPressの脆弱性や改ざんのニュースも絶えません。

JVN iPedia – 脆弱性対策情報データベース

このブログも WordPress で運用しています。

オープンソースで無料で使えますし、MySQL(データーベース) そして、PHP が利用できるレンタルサーバーを借りれば誰でも世界に向けて情報発信ができるツールです。

最近はレンタルサーバーに WordPress をインストールするためのインストーラーが事前に用意されています。
インストーラーをクリックするだけで、WordPress が公開されてブログがかける状況になっているのがすごく便利ですよね。

デザインテーマなども管理画面からお好みのテーマを選び、クリックするだけなので本当にプログラムやサーバー、データーベースといった難しい知識はなくても「記事」を書くだけなら誰でも使えるツールです。

簡単に導入できるツールのためWordPressですが、セキュリティホール情報もたくさん出回っています。

対策が施されていないWordPressはユーザIDが丸見えです。

単純なパスワードならブルートフォースアタックで数分で破らるツールがネット上で出回っています。

実際、ネットで検索すればいろんな脆弱性の情報、改ざんのニュースがすぐ出てきます。

WordPressの脆弱性をついた改ざんだけではなく、ハッキングの踏み台に利用されることもありまし。

安全なWordPress利用のためにWordPressの対策は必須です。

 

【WordPress対策十か条】

  1. WordPress基礎のキソ。最新版にアップデート!
  2. あなたのWPユーザ ー情報丸みえですよ【8/17更新】
    • ユーザーIDがバレるだけでも危険!!
    • adminユーザーは即削除してください
    • ユーザーIDを抜き出す方法
      • REST APIを利用したユーザーIDを抜き出し方と対策
      • ?/author=n によるユーザーID露呈対策
  3. WordPress ユーザーの強力なパスワードの設定方法【8/2更新】
    • 付けてはいけないパスワード
    • 理想的なパスワードの付け方
  4. WordPressのログイン画面を守る2つの方法【8/3更新】
    • ログイン画面への「ログイン」リンクを非公開にする
    • ログイン画面URLへのアクセス制限(BASIC認証)をかける
  5. 「.htaccessファイル」でWordPressを守る3種防衛設定【8/4更新】
    • .htaccessファイルをまず守る【8/4更新】
    • .htaccessファイルで日本国外からログイン画面などへアクセスをできなくする【8/4更新】
    • .htaccessファイルで wp-config.php, wp-mail.php, install.phpを守る【8/4更新】
  6. MySQL の管理ツール phpMyAdmin をインストール【8/5更新】
  7. MySQLのrootユーザーは安全か?【8/8更新】
    • roorユーザーのパスワードを必ず設定
    • WordPress用のデータベースを操作する専用ユーザーを用意する
    • デフォルトデータベースは削除
  8. WordPress用途の異なる3種類のバックアップ【8/12更新】
    • 記事のみのバックアップ(エクスポート)
    • ファイルのバックアップ
    • データベースのバックアップ
  9. バックアップからの復元方法【8/14更新】
    • 記事のみの復元
    • データーベースの復元
    • 各種ファイルの復元(写真・テーマ・翻訳・プラグイン)
  10. 暗号化(SSL)導入で注意するポイント【8/16更新】

1. WordPress基礎のキソ。最新版にアップデート!

ダッシュボード

上記画面例は更新通知が届いているダッシュボード画面例を表しています。

ダッシュボード画面の「更新」メニューに「2」と付いているのはWordPress内で更新が必要なファイルの通知が2通きているということです。

更新される理由はスマートフォンのアプリのアップデートと同じで様々ですが、セキュリティ上の都合の場合が多いです。

セキュリティのアップデートを放置しておくとハッカーからの攻撃を受けやすくなるため必ずアップデートをする必要があります。

「更新」メニューをクリックして開くと次の下画面になります。WordPress 本体とプラグインの更新通知であることがわかります。

更新通知
WordPress本体とプラグインの更新通知が1通ずつ届いていることがわかります。

この場合、「WordPress 4.9.7-ja」の「今すぐ更新」ボタンと、「Jetpack by WordPress.com」を選択して「プラグインを更新」ボタンををそれぞれクリックして更新します。

更新作業を行う場合は念のため事前にバックアップを行うことをおすすめします。

セキュリティ上の都合で更新されるものがほとんどですので、更新作業は怠らないようにしましょう。

▲10回シリーズの目次へ戻る