WordPressは世界中で使われていて、使い方の説明などもネット上にたくさんあります。
便利な反面、悪意のあるユーザーによる攻撃もあるためセキュリティ対策は必要です。
いくらやっても充分ということは無いです。
しかし、だからと言って出来ることもやらないでザル状態ではダメです。
いくつか紹介しますが、最低限の誰にでもできるものは対策しましょう。
DBのプレフィクスを変更
プレフィクスとはデータベースのテーブル名の頭についている文字のことです。
初期設定では「wp_」になっています。
wp-config.php の中に定義されています。
1 2 3 4 5 6 7 |
/** * WordPress データベーステーブルの接頭辞 * * それぞれにユニーク (一意) な接頭辞を与えることで一つのデータベースに複数の WordPress を * インストールすることができます。半角英数字と下線のみを使用してください。 */ $table_prefix = 'wp_'; |
この設定だとテーブル名が「wp_options」や「wp_posts」となり、簡単に推測されてしまいます。
簡単に推測されると、セキュリティの穴が見つかって外部からSQLを実行されたときにデータを抜き取られてしまいます。
自分のブログデータだけなら良いですが、同じデータベースで顧客情報を管理していたら損害賠償の発生する情報漏洩になってしまいます。
プレフィクスを変更すれば他の人のサイトと異なるテーブル名にすることができて安全です。
テーブルはインストール時に作成されますので、WordPressを設置してDBの接続設定をするときに変更しておきましょう。
ユーザー名は「admin」にしない
WordPressに限らずですが管理者権限のユーザー名を「admin」にする人がまだたくさんいます。
ユーザーIDを他のものにしても他の対策をしていなければすぐバレてしまいますが、悪意あるユーザーに有利な状態にしておく必要はないですよね?笑
せめて「admin」以外のものにしておきましょう。
昔WordPressで作ったサイトの改修案件があり、対応しようとしたらユーザーIDが「admin」でした笑
パスワードも簡単なものだったので「別料金でセキュリティ対策しますか?」って提案したのですが、断られました。
無事改修案件は終了しお金も頂いたあとで不正なアクセスでデータが壊れたと言われました。
ほんのちょっとをケチった為に余計なお金が発生したケースですね。
パスワードは強固なものに
WordPressをインストールしたときにパスワードを設定すると思います。
このパスワードは脆弱なものだとチェックしないと次に進めないようになっていますが、それでもちょっとしたアルファベットと数字を組み合わせればすぐに強固になってしまいます。
それがダメとは言いませんが、意味のある単語や意味のある数値の組み合わせは強固では無いので注意してほしいです。
また、WordPressのパスワードだけでなく、DBのパスワードも強固にする必要があります。
パスワードが弱かったら他をいくら強固にしても意味が無いのでまずはパスワードを見直しましょう。
プラグイン「SiteGuard」をインストールする
SiteGuardはインストールするだけでログインページのURLを変更し、画像認証を入れてくれます。
コメント欄にも入りスパムが激減します。
以下の記事まとめましたのでご参照ください。
≫ WordPressを入れたらスパム対策にSiteGuard WP Pluginを入れてください!Akismetはどうなん?
国外のIPを拒否する
ブルーフォースアタックは僕も受けたことがあります(笑)
このブログを作ったとき、僕は世界一周の旅に出ました。
当然ブログの更新は国外から行っており、国外のIPからのアクセスを拒否していたため管理画面にアクセス出来ませんでした。
しかたなくフィルターを解除したら2ヵ月後くらい?から不正なアクセスが増えはじめました。
怖いもんです。
僕は宿泊していた宿のIPアドレスだけ毎回アクセスOKにしながら対応しましたけど、かなり面倒ですし普通の人にはなかなか出来ないことだと思います。
外国から更新する場合以外の人は国外IPは拒否しておいたほうがいいです。
定期的にバックアップをとる
万が一不正なアクセスを受けてサイトが壊れてしまった場合のためにバックアップをとりましょう。
出来れば毎日とりたいですが、週に1回でも月に1回でもいいです。
プラグインなでバックアップを残すことも可能ですが、サーバーのコントロールパネルからバックアップをダウンロードすることも出来ます。
ダウンロードは、ソースとDBです。
ソースってのはプログラムコードのことです。
DBのバックアップはMySQLにログインするとエクスポートって項目があるのでそこで全てエクスポートしておきましょう。
高度なプログラミングが出来る方は、シェルスクリプトを作成しcronで定期的にバックアップを作成することができます。
プログラマーを目指す方は是非挑戦してみよう!
まとめ
他にも難しい対策があるのですが、ここでは誰にでもできる対策方法をご紹介しました。
- DBのプレフィクスを変更
- ユーザー名は「admin」にしない
- パスワードは強固なものに
- プラグイン「SiteGuard」をインストールする
- 国外のIPを拒否する
- 定期的にバックアップをとる
最初にもお伝えした通り、セキュリティ対策に完璧なんてものは存在しません。
なので上記の対策を行っても不正な攻撃をされたりするかもしれません。
だけど僕はこの対策+ちょっと難しい対策で5-6年くらいWordPress開発をしてますけど問題が出たことはないです。
どれもやろうと思えば誰にでもできる対策方法なのでしっかり対策しておきましょう。
コメントを残す