- 公開日:2014/08/26
- 最終更新:2020/10/05
目次
WordPressとは、簡単にwebサイトが作成出来るCMSのこと!
WordPress(ワードプレス)とはオープンソースのCMSプラットフォームのことで、現在では個人のブログやホームページにとどまらず企業のブログやホームページにも利用されているほどその利用用途は広がっています。
また、初心者でも簡単にwebサイトが作成することができ、簡単なプログラムであればワードプレスの操作を行うと身に付けることができます。
無料で使えて、だれでも簡単に利用する事ができますがオープンソースであるがゆえ簡単に攻撃や乗っ取りを受けてしまうことがあります。
ここでは大切なサイトを守るために、WordPressを利用する時にしておいた方がいいセキュリティ対策を紹介します。
WordPressのバージョンを最新版のものにしておく
WordPressは有名なCMSですのでクラッカーのターゲットになりやすく、情弱性がたびたび見つけられます。
そのたびに細かいアップデートを行なっているために、それらに対してはこまめに更新作業を行なって対策を行いましょう。
古いバージョンで運用を続けていると情弱性が改善されないままサイトを運営していることになりますので常に最新版にしておくことをおすすめします。
ただ、利用しているサイトの中核を担うプラグインの更新速度が追いついていない等といった要因で難しい場合もありますが、その場合は他に似たプラグインで更新頻度が高いものを探すなどして対応することを考えたほうが良い場合もありますので、プラグインのバージョンも合わせて見ることをおすすめします。
wp-config.phpのアクセス権限を変更する
wp-config.phpというファイルはWordPressを取り扱うにおいて最も重要かつセキュリティをしっかりと行わなければならないファイルです。
wp-config.phpにはデータベースの情報が記載されているためにこのファイルが閲覧、手を加えられるとデータベースが直接操作されてしまう危険性があるからです。
そうならないために下記の2段対策によってセキュリティを強固しましょう。
.htaccessを編集
wp-config.phpと同じ階層の.htaccess(なければ作成する)に下記を入力します。
これをすることによって外部からのアクセスが不可になります。
<files wp-config.php>
order allow,deny
deny from all
</files>
パーミッションの編集
次にwp-config.phpのパーミッションを400に変更しておきましょう。
これは管理者のみに読み取りの権限を付与するという意味で、詳しくは「パーミッション 意味」などで検索すると出てきますので、こちらでは割愛させていただきます。
ユーザー名、パスワードを変更する
これはWordPressに限ったことではありませんが、パスワードはできるだけ推測されないものにするのがよいでしょう。
無機質な英数字の羅列等がベストですが覚えられない等もあるので少なくとも英数字を絡めた8文字以上のパスワードを推奨します。
また、ユーザー名には「admin」をできるかぎり使わないようにしましょう。WordPressを利用している方でadminをユーザ名に利用している方は多いと思いますが、利用しているユーザが多いということはそれだけ狙われやすいということです。
それよりも予測されやすいユーザ名(aaaや123などといったもの)でなければadminから変更することをおすすめします。
変更の仕方
WordPress管理画面のユーザー→新規追加から新しいユーザー名を追加。
それに管理権限を与えた後にadminユーザーを削除すれば新しいユーザ名に変更することができます。
不正なIPをロックする
クラッカーが不正ログインをするときには膨大な量の試行回数を繰り返してログインしてくることがあります。
そういったものを防ぐために、プラグイン「Simple Login LockDown」を利用しましょう。
このプラグインは同一IPから連続してログインの失敗を検知すると一定期間ログインをできなくするようになるプラグインです。
初期設定では試行回数は5回、ログイン出来ない間隔は60分に設定されていますが、管理画面→設定→表示設定から変更することができます。
Basic認証をかける
「WP Admin Basic Auth」というプラグインを利用して管理画面にBasic認証をかけておきましょう。
管理画面に二重ロックが掛かることによって不正アクセスへの障壁になります。
アクセスログを取得する
WordPressのログイン画面へのアクセスログをとっておくことで
▼どのIPが
▼どの国から
▼どのユーザ名で
などといった情報を得ることができます。
これらの情報を取得することによってより正確な制限をすることができます。例えば・・・
▼adminユーザで頻繁にログインの試行が行われているためにユーザ名を変更する
▼海外からの不正アクセスの形跡が多いために海外IPを制限する。
等といった明確な制限処置を取ることができます。
アクセスログを取得するのにオススメのプラグインは「Crazy Bone」です。
追加したらメニューバーにログイン履歴が追加されてデータを見ることができます。
WordPress導入におすすめのレンタルサーバー!
WordPressを導入するのに適したおすすめのレンタルサーバーを紹介します。
レンタルサーバーを借りる際はWordPressを利用して簡単にwebページを作成しましょう。
初期費用 | 月額費用 | 容量 |
---|---|---|
3,000円 | 900円~ | 最大400GB |
webサイトを作成するのにWordPressが簡単に使えるレンタルサーバーを探しているならエックスサーバーがオススメ。
WordPressを重要視する以外にも、コストパフォーマンスや安定感、セキュリティ面での評価も高いのではじめてでも使いやすいと思います。
初期費用 | 月額費用 | 容量 |
---|---|---|
3,950円 | 1,000円~ | 256GB |
ヘテムルでは、WordPress以外にもネットショップ向きのCMS機能、EC-CUBEやBaserCMSなど6種類のCMSに対応しています。
またマルチドメイン機能も使える為、CMSを利用したwebサイトを複数運営することも可能です。