【WordPress】セキュリティ対策 6選

  • このエントリーをはてなブックマークに追加

WordPressサイトのセキュリティを強化するにあたって、「ログインページのURLを変更する」というのはよくある手法ですが、その他にもできることを忘備録として一覧にしました。

SSLによる ログインと管理画面へのアクセスを強制する

ログイン画面や管理画面へアクセスする際、強制的に暗号化通信にします。

<編集するファイル>
wp-config.php

<方法>
ファイルに下記を記述します。


<詳細参考>
https://wpdocs.osdn.jp/%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2%E3%81%A7%E3%81%AE_SSL_%E9%80%9A%E4%BF%A1


クリックジャッキング対策

クリックジャッキングという、Webブラウザを悪用した攻撃があります。
ページ全体に透明なiframeをかぶせて、閲覧者がリンクをクリックした際に意図せぬ動作をさせます。
具体的には、これを仕込まれると、スパムサイトに飛ばされたり、Twitterで知らないアカウントをフォローさせたり、様々な被害があるようです。
クリックジャッキングを防止しましょう。

<編集するファイル>
.htaccess

<方法>
.htaccessには、X-Frame-Optionsというオプションがあるので、追加します。
下記の記述で「自身のサイト以外からのフレーム内表示を拒否する」という意味になります。


「全てのサイトからフレーム内表示を拒否する」場合は下記になります。



Dos攻撃を防止する

サーバーに過負荷をかけるDos攻撃という手法があります。サービスが極端に重くなったりします。
WordPressには、スマホアプリなどからの更新にも対応するため、/xmlrpc.phpというファイルが存在しますが、これがDos攻撃の対象になることがあります。このファイルへのアクセスをリダイレクトする処理を仕込みましょう。

<編集するファイル>
.htaccess

<方法>
下記の記述を追加します。



REST APIを停止する

通常WordPressはPHPなのでDBから取得してPHPでデータを加工・表示しなければいけませんが、WP REST APIを使用するとJSON形式でデータを取得できるので、javascriptが使用できます。このREST APIを介して色々なデータを取得することができるので、悪用されないように、使用していないのであれば、停止しましょう。

<編集するファイル>
functions.php

<方法>
下記の記述を追加します。


ただし、プラグインによってはREST APIを使用しているものもあるようなので、挿入後はプラグインが正しく動作するか確認してください。

WordPressのバージョン情報を削除する

脆弱性があるWordPressのバージョンを使用していることがばれると攻撃の対象になりやすいため、ここを非表示にしましょう。

<編集するファイル>
functions.php

<方法>
下記の記述を追加します。



author IDの取得を制限する

WordPressにはデフォルトで投稿者の一覧画面が存在します。
authorのIDが分かってしまうと、そこからログインIDまで辿れてしまう場合があるため、セキュリティ上良くありません。
authorの一覧を使用していないようであれば、リダイレクトの設定をしましょう。

<編集するファイル>
functions.php

<方法>
下記の記述を追加します。

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

森島

執筆者: 森島

8bit デザイナーです。 コーディング・jQueryなど幅広く担当しています。