2020年8月4日

森島

【WordPress】セキュリティ対策 6選

WordPress

facebook
twitter

WordPressサイトのセキュリティを強化するにあたって、「ログインページのURLを変更する」というのはよくある手法ですが、その他にもできることを忘備録として一覧にしました。

1 SSLによるログインと管理画面へのアクセスを強制する
2 クリックジャッキング対策
3 Dos攻撃を防止する
4 REST APIを停止する
5 WordPressのバージョン情報を削除する
6 author IDの取得を制限する
7 YoutubeChannelのご紹介

SSLによるログインと管理画面へのアクセスを強制する

ログイン画面や管理画面へアクセスする際、強制的に暗号化通信にします。

＜編集するファイル＞
wp-config.php

＜方法＞
ファイルに下記を記述します。

define('FORCE_SSL_ADMIN', true);

1	define('FORCE_SSL_ADMIN', true);

＜詳細参考＞
https://wpdocs.osdn.jp/%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2%E3%81%A7%E3%81%AE_SSL_%E9%80%9A%E4%BF%A1

クリックジャッキング対策

クリックジャッキングという、Webブラウザを悪用した攻撃があります。
ページ全体に透明なiframeをかぶせて、閲覧者がリンクをクリックした際に意図せぬ動作をさせます。
具体的には、これを仕込まれると、スパムサイトに飛ばされたり、Twitterで知らないアカウントをフォローさせたり、様々な被害があるようです。
クリックジャッキングを防止しましょう。

＜編集するファイル＞
.htaccess

＜方法＞
.htaccessには、X-Frame-Optionsというオプションがあるので、追加します。
下記の記述で「自身のサイト以外からのフレーム内表示を拒否する」という意味になります。

Header always append X-Frame-Options SAMEORIGIN

1	Header always append X-Frame-Options SAMEORIGIN

「全てのサイトからフレーム内表示を拒否する」場合は下記になります。

Header always append X-Frame-Options DENY

1	Header always append X-Frame-Options DENY

Dos攻撃を防止する

サーバーに過負荷をかけるDos攻撃という手法があります。サービスが極端に重くなったりします。
WordPressには、スマホアプリなどからの更新にも対応するため、/xmlrpc.phpというファイルが存在しますが、これがDos攻撃の対象になることがあります。このファイルへのアクセスをリダイレクトする処理を仕込みましょう。

＜編集するファイル＞
.htaccess

＜方法＞
下記の記述を追加します。

RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

1	RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

REST APIを停止する

通常WordPressはPHPなのでDBから取得してPHPでデータを加工・表示しなければいけませんが、WP REST APIを使用するとJSON形式でデータを取得できるので、javascriptが使用できます。このREST APIを介して色々なデータを取得することができるので、悪用されないように、使用していないのであれば、停止しましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//REST APIを無効化
function delete_rest_api(){
  return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );
}
add_filter( 'rest_authentication_errors', 'delete_rest_api' );

//REST APIを無効化

function delete_rest_api(){

return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );

}

add_filter( 'rest_authentication_errors', 'delete_rest_api' );

ただし、プラグインによってはREST APIを使用しているものもあるようなので、挿入後はプラグインが正しく動作するか確認してください。

WordPressのバージョン情報を削除する

脆弱性があるWordPressのバージョンを使用していることがばれると攻撃の対象になりやすいため、ここを非表示にしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//headerのgenerator
remove_action('wp_head','wp_generator');
//scriptなどの「?ver=xxxx」を削除
function remove_wp_ver( $src ) {
    if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );
add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

//headerのgenerator

remove_action('wp_head','wp_generator');

//scriptなどの「?ver=xxxx」を削除

function remove_wp_ver( $src ) {

if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )

$src = remove_query_arg( 'ver', $src );

return $src;

}

add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );

add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

author IDの取得を制限する

WordPressにはデフォルトで投稿者の一覧画面が存在します。
authorのIDが分かってしまうと、そこからログインIDまで辿れてしまう場合があるため、セキュリティ上良くありません。
authorの一覧を使用していないようであれば、リダイレクトの設定をしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

function author_archive() {
  if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
    wp_redirect( home_url() );
    exit;
  }
}
add_action('init', 'author_archive');

function author_archive() {

if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){

wp_redirect( home_url() );

exit;

}

add_action('init', 'author_archive');

YoutubeChannelのご紹介

同様の内容を、動画でご覧になれます。

https://youtu.be/s7xigWJ02UQ

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

【PHP8】関数を作るときにしっかりと型宣言をするお話

目次1 天国でもあり地獄のようなPHPの変数事情2 関数も型宣言する時代天国でもあり地獄のようなPHPの変数事情 PHPは昔から良くも悪くも変数の型に対して寛容でした。いきなり型宣言をせずに使えますし、なんなら $hoge .= “宣言しなくても追加”; ですら怒られないくらいでした。ただ、PHP5あたりからうっすらとまずいよねってことになり、PHP5系では非推奨、PHP8以降になると、warningとしてしっかりとアラートが出るようになりました […]

2024年7月22日

プログラミング

【PHP】古いWordPressで絵文字を使えるようにするお話

WordPressはLAMP環境で動くCMSとして昔から有名ですが、昔から使われているサイトの場合、絵文字が使えないことがあります。今回はそういう場合の絵文字を使えるようにしてみましょう目次1 MySQLのバージョンを調べる2 テーブルの照合順序を変更する3 最近の事情 MySQLのバージョンを調べる使えるようにしましょうといいつつ、実は大前提があります。それはMySQLのバージョンが5.5以降であることです。それ未満のバージョンは「utf8mb4」にできないため、 […]

2024年7月18日

Webサイト制作

【さくらのレンタルサーバー】環境ごとにPHPのバージョンを変更するお話

最近何かとAI関係で話題の「さくらインターネット」ですが、レンタルサーバーはコスパもよく、かなり使いやすいサービスだと思います。特にWordPressなどのLAMP環境に最適化された環境であり、PHPもいろいろなバージョンを選ぶことができます。変更方法も簡単でコンパネからボタン一つでできるので楽ちんですね。ただ当然なのですがマルチドメインで運用している場合もすべての環境にPHPのバージョンが一斉に反映されてしまいます。それはそれで便利なのですが、例えばこの環境のみバー […]

2024年7月18日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによるログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【PHP8】関数を作るときにしっかりと型宣言をするお話

【PHP】古いWordPressで絵文字を使えるようにするお話

【さくらのレンタルサーバー】環境ごとにPHPのバージョンを変更するお話

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによる ログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【PHP8】関数を作るときにしっかりと型宣言をするお話

【PHP】古いWordPressで絵文字を使えるようにするお話

【さくらのレンタルサーバー】環境ごとにPHPのバージョンを変更するお話

SSLによるログインと管理画面へのアクセスを強制する