2020年8月4日

森島

【WordPress】セキュリティ対策 6選

WordPress

facebook
twitter

WordPressサイトのセキュリティを強化するにあたって、「ログインページのURLを変更する」というのはよくある手法ですが、その他にもできることを忘備録として一覧にしました。

1 SSLによるログインと管理画面へのアクセスを強制する
2 クリックジャッキング対策
3 Dos攻撃を防止する
4 REST APIを停止する
5 WordPressのバージョン情報を削除する
6 author IDの取得を制限する
7 YoutubeChannelのご紹介

SSLによるログインと管理画面へのアクセスを強制する

ログイン画面や管理画面へアクセスする際、強制的に暗号化通信にします。

＜編集するファイル＞
wp-config.php

＜方法＞
ファイルに下記を記述します。

define('FORCE_SSL_ADMIN', true);

1	define('FORCE_SSL_ADMIN', true);

＜詳細参考＞
https://wpdocs.osdn.jp/%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2%E3%81%A7%E3%81%AE_SSL_%E9%80%9A%E4%BF%A1

クリックジャッキング対策

クリックジャッキングという、Webブラウザを悪用した攻撃があります。
ページ全体に透明なiframeをかぶせて、閲覧者がリンクをクリックした際に意図せぬ動作をさせます。
具体的には、これを仕込まれると、スパムサイトに飛ばされたり、Twitterで知らないアカウントをフォローさせたり、様々な被害があるようです。
クリックジャッキングを防止しましょう。

＜編集するファイル＞
.htaccess

＜方法＞
.htaccessには、X-Frame-Optionsというオプションがあるので、追加します。
下記の記述で「自身のサイト以外からのフレーム内表示を拒否する」という意味になります。

Header always append X-Frame-Options SAMEORIGIN

1	Header always append X-Frame-Options SAMEORIGIN

「全てのサイトからフレーム内表示を拒否する」場合は下記になります。

Header always append X-Frame-Options DENY

1	Header always append X-Frame-Options DENY

Dos攻撃を防止する

サーバーに過負荷をかけるDos攻撃という手法があります。サービスが極端に重くなったりします。
WordPressには、スマホアプリなどからの更新にも対応するため、/xmlrpc.phpというファイルが存在しますが、これがDos攻撃の対象になることがあります。このファイルへのアクセスをリダイレクトする処理を仕込みましょう。

＜編集するファイル＞
.htaccess

＜方法＞
下記の記述を追加します。

RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

1	RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

REST APIを停止する

通常WordPressはPHPなのでDBから取得してPHPでデータを加工・表示しなければいけませんが、WP REST APIを使用するとJSON形式でデータを取得できるので、javascriptが使用できます。このREST APIを介して色々なデータを取得することができるので、悪用されないように、使用していないのであれば、停止しましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//REST APIを無効化
function delete_rest_api(){
  return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );
}
add_filter( 'rest_authentication_errors', 'delete_rest_api' );

//REST APIを無効化

function delete_rest_api(){

return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );

}

add_filter( 'rest_authentication_errors', 'delete_rest_api' );

ただし、プラグインによってはREST APIを使用しているものもあるようなので、挿入後はプラグインが正しく動作するか確認してください。

WordPressのバージョン情報を削除する

脆弱性があるWordPressのバージョンを使用していることがばれると攻撃の対象になりやすいため、ここを非表示にしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//headerのgenerator
remove_action('wp_head','wp_generator');
//scriptなどの「?ver=xxxx」を削除
function remove_wp_ver( $src ) {
    if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );
add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

//headerのgenerator

remove_action('wp_head','wp_generator');

//scriptなどの「?ver=xxxx」を削除

function remove_wp_ver( $src ) {

if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )

$src = remove_query_arg( 'ver', $src );

return $src;

}

add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );

add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

author IDの取得を制限する

WordPressにはデフォルトで投稿者の一覧画面が存在します。
authorのIDが分かってしまうと、そこからログインIDまで辿れてしまう場合があるため、セキュリティ上良くありません。
authorの一覧を使用していないようであれば、リダイレクトの設定をしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

function author_archive() {
  if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
    wp_redirect( home_url() );
    exit;
  }
}
add_action('init', 'author_archive');

function author_archive() {

if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){

wp_redirect( home_url() );

exit;

}

add_action('init', 'author_archive');

YoutubeChannelのご紹介

同様の内容を、動画でご覧になれます。

https://youtu.be/s7xigWJ02UQ

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

SharePointではできないこと 4選

「これってSharePointでできないの!?」なんていう瞬間、開発やカスタマイズの現場では意外と多くあります。SharePointはとても柔軟なプラットフォームですが、実は“万能ツール”ではありません。「コードを書けば何とかなる」と思って構築を進めると、モダンページの仕様や制限に阻まれて苦い思いをすることもしばしば。今回は、実際のプロジェクトや運用の中で見えてきた「SharePointではできないこと」をまとめて紹介します。目次1 1.CSSとJSが直接使えない1.1 ク […]

2025年10月10日

Webサイト制作

WordPress納品後にクライアントが安心して運用できる仕組みづくりをしよう

ホームページ制作において、更新機能を手軽に導入できるのがWordPressです。専門知識がなくても記事の投稿やページ編集を行いやすい一方で、クライアントが自分で運用するには、が欠かせません。今回は、そのための仕組みづくりについてご紹介します。制作側の方はもちろん、クライアント側でホームページ運用を担当される方も、制作時のご相談などにぜひ参考にしてみてください。目次1 管理画面のロゴを企業ロゴに変更する2 管理画面のURLを変更する・認証などを付けてセキュリティ面を強化 […]

2025年10月3日

Webデザイン

アプリのロゴアニメーションをAfter Effectsで作成→Lottieに変換【iOS/Android対応】

こちらは、当社でリリースしたアプリ「ピンピタ」で使用しているロゴアニメーションです。スプラッシュ画面でロゴが動くと、ぐっとアプリらしい印象になりますし、作ってみたいですよね。今回は、After Effects（以降AE）でロゴアニメーションを作成し、アプリに組み込むまでをご紹介します。 AEと聞くと難しい印象がありますが、PremiereやFlashなどを触った経験がある方なら、すぐに慣れます。もう一度再生目次1 作業フロー1.1 注意点：グラデーションが使用不可2 […]

2025年9月19日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによるログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

SharePointではできないこと 4選

WordPress納品後にクライアントが安心して運用できる仕組みづくりをしよう

アプリのロゴアニメーションをAfter Effectsで作成→Lottieに変換【iOS/Android対応】

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによる ログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

SharePointではできないこと 4選

WordPress納品後にクライアントが安心して運用できる仕組みづくりをしよう

アプリのロゴアニメーションをAfter Effectsで作成→Lottieに変換【iOS/Android対応】

SSLによるログインと管理画面へのアクセスを強制する