<初歩の初歩>WordPressのセキュリティ対策

WordPressは、AmebaブログやHatenablogなどのブログサービスに比べて、セキュリティ強化も自分でしなくてはいけないのが面倒。正直、そこまでWEB制作などに詳しいわけではないので、こういったことには苦手意識があります。

でもその分、自由度が高くて好きにカスタマイズできるし、デザインの幅も広いし、変な広告つかないしで、つい使ってしまいたくなるんですよね。

そんなわけで、私のようなWEBが得意でない方も、最低限やっておくべきWordPressのセキュリティ対策を3つ、これを書きながら、私も設定することにします。

  1. wp-config.phpのパーミッションの見直し
  2. ログイン対策
  3. セキュリティプラグインの利用

セキュリティ対策っていっぱいあるんですけど、全部やっていると肝心の記事に手が付けられないので、上記以外については、徐々に対策して行きたいと思います。

1. wp-config.phpのパーミッションの見直し

初めてWordPressを触った時は、正直「???」だったこのパーミッション設定。

よく分からない人はWordPressをインストールしたフォルダ内に、”wp-config.php”というファイルがあるので、とにかくそのパーミッション(アクセス権)を「400」に設定しておけばOKです。

サーバーによっては、「600」を推奨しているところもあるので、その場合は「600」に。「400」と「600」なら、「400」の方が強力だけど、「600」でもまあ安全の範囲内…というイメージなんだと思います。

一応、数字の読み方としては、数値3桁のうち、左側:自分、真ん中:グループ、右側:その他、の権限を表しています。

真ん中の「グループ」については、同じサーバーを使っている人、つまりレンタルサーバーなどで共有サーバーを使っているなら「他人」。サーバーを占有しているのなら「自分」ということになります。

数値は大きければ大きいほど、何でもできてしまい、小さければ小さいほど、何もできないということですが、自分が何もできなくなってしまっても困ります。

ゆえに、”wp-config.php”の場合は、自分:4(読み取り可能)、グループ:0(何もできない)、その他:0(何もできない)というが理想的となるのでしょう。

2. ログイン強化

ユーザー名とパスワードは推測されないようにする、というのは、WordPressに限らず全てのインターネットサービスにてやっておくべき話ですが、他にもWordPressならではのログイン対策があります。それが下記の3つ。

  • 投稿者を非表示にする
  • 投稿者アーカイブの無効化
  • ログインURLを変更する

投稿者を非表示にする

投稿者の表示/非表示はテーマによって、ボタンひとつでできたり、自分でテーマを編集しなくてはならなかったり、非表示の場合の動作保証がなかったりします。私はあまりテーマの編集(=テーマのプログラム部分)を触りたくなかったので、表示/非表示を選べるテーマを使いました。

投稿者アーカイブの無効化

WordPressのデフォルト機能に、投稿者アーカイブというものが存在します。

https://●●.com/?author=1

などと入れてアクセスすると、

https://●●.com/author/ユーザー名

というように、投稿者アーカイブが表示されます。投稿者アーカイブのURLにはユーザー名が含まれるため、外部の人が簡単にユーザー名を特定することができます。これについては、「投稿者アーカイブ 無効化」などで検索すると、詳しく書かれた記事がたくさん出てきますので参考にしてくださいね。

ちなみに、テーマを編集する方法と、プラグインを利用する方法があるようです。こちらは先ほどの「投稿者の表示/非表示」とは異なり、テーマの編集といってもコードをコピペするだけなので簡単です。一点注意があるとすれば、テーマを変更した際には再度設定をしなくてはならないので、忘れずに。

私はうっかりテーマを変えてしまって、先ほどまでユーザー名が丸見えになっていました。もちろん、今は修正済みです。

ログインURLを変更する

WordPressのログインURLはデフォルトで

https://●●.com/wp-login.php

ですが、これを

https://●●.com/任意の英数字

などに変更します。ログインURLの変更も投稿者アーカイブの無効化と同じく、テーマを編集する方法とプラグインを利用する方法があるようです。

私は次の「セキュリティプラグインの利用」で利用したプラグインに、ログインURLを変更する機能が含まれていたので、一緒に変更しました。

3. セキュリティプラグインの利用

私は「All In One WP Security & Firewall」というプラグインを利用しました。

使い方は検索すると詳しく書かれた記事がたくさん出てくるので、あえてここでは触れませんが、全部やろうとすると、結構時間がかかります。

まずは最低限、レンタルサーバ大手のさくらインターネットが解説している箇所を網羅して行き、徐々に更新していくのが良いかと思います。

https://help.sakura.ad.jp/hc/ja/articles/206056622–WordPress-セキュリティを強化する

長くなりましたが、今日はここまで。また徐々に進めて行きたいと思います。