2020年8月4日

森島

【WordPress】セキュリティ対策 6選

WordPress

facebook
twitter

WordPressサイトのセキュリティを強化するにあたって、「ログインページのURLを変更する」というのはよくある手法ですが、その他にもできることを忘備録として一覧にしました。

1 SSLによるログインと管理画面へのアクセスを強制する
2 クリックジャッキング対策
3 Dos攻撃を防止する
4 REST APIを停止する
5 WordPressのバージョン情報を削除する
6 author IDの取得を制限する
7 YoutubeChannelのご紹介

SSLによるログインと管理画面へのアクセスを強制する

ログイン画面や管理画面へアクセスする際、強制的に暗号化通信にします。

＜編集するファイル＞
wp-config.php

＜方法＞
ファイルに下記を記述します。

define('FORCE_SSL_ADMIN', true);

1	define('FORCE_SSL_ADMIN', true);

＜詳細参考＞
https://wpdocs.osdn.jp/%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2%E3%81%A7%E3%81%AE_SSL_%E9%80%9A%E4%BF%A1

クリックジャッキング対策

クリックジャッキングという、Webブラウザを悪用した攻撃があります。
ページ全体に透明なiframeをかぶせて、閲覧者がリンクをクリックした際に意図せぬ動作をさせます。
具体的には、これを仕込まれると、スパムサイトに飛ばされたり、Twitterで知らないアカウントをフォローさせたり、様々な被害があるようです。
クリックジャッキングを防止しましょう。

＜編集するファイル＞
.htaccess

＜方法＞
.htaccessには、X-Frame-Optionsというオプションがあるので、追加します。
下記の記述で「自身のサイト以外からのフレーム内表示を拒否する」という意味になります。

Header always append X-Frame-Options SAMEORIGIN

1	Header always append X-Frame-Options SAMEORIGIN

「全てのサイトからフレーム内表示を拒否する」場合は下記になります。

Header always append X-Frame-Options DENY

1	Header always append X-Frame-Options DENY

Dos攻撃を防止する

サーバーに過負荷をかけるDos攻撃という手法があります。サービスが極端に重くなったりします。
WordPressには、スマホアプリなどからの更新にも対応するため、/xmlrpc.phpというファイルが存在しますが、これがDos攻撃の対象になることがあります。このファイルへのアクセスをリダイレクトする処理を仕込みましょう。

＜編集するファイル＞
.htaccess

＜方法＞
下記の記述を追加します。

RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

1	RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

REST APIを停止する

通常WordPressはPHPなのでDBから取得してPHPでデータを加工・表示しなければいけませんが、WP REST APIを使用するとJSON形式でデータを取得できるので、javascriptが使用できます。このREST APIを介して色々なデータを取得することができるので、悪用されないように、使用していないのであれば、停止しましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//REST APIを無効化
function delete_rest_api(){
  return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );
}
add_filter( 'rest_authentication_errors', 'delete_rest_api' );

//REST APIを無効化

function delete_rest_api(){

return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );

}

add_filter( 'rest_authentication_errors', 'delete_rest_api' );

ただし、プラグインによってはREST APIを使用しているものもあるようなので、挿入後はプラグインが正しく動作するか確認してください。

WordPressのバージョン情報を削除する

脆弱性があるWordPressのバージョンを使用していることがばれると攻撃の対象になりやすいため、ここを非表示にしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//headerのgenerator
remove_action('wp_head','wp_generator');
//scriptなどの「?ver=xxxx」を削除
function remove_wp_ver( $src ) {
    if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );
add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

//headerのgenerator

remove_action('wp_head','wp_generator');

//scriptなどの「?ver=xxxx」を削除

function remove_wp_ver( $src ) {

if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )

$src = remove_query_arg( 'ver', $src );

return $src;

}

add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );

add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

author IDの取得を制限する

WordPressにはデフォルトで投稿者の一覧画面が存在します。
authorのIDが分かってしまうと、そこからログインIDまで辿れてしまう場合があるため、セキュリティ上良くありません。
authorの一覧を使用していないようであれば、リダイレクトの設定をしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

function author_archive() {
  if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
    wp_redirect( home_url() );
    exit;
  }
}
add_action('init', 'author_archive');

function author_archive() {

if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){

wp_redirect( home_url() );

exit;

}

add_action('init', 'author_archive');

YoutubeChannelのご紹介

同様の内容を、動画でご覧になれます。

https://youtu.be/s7xigWJ02UQ

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

【PHP】PHPでExcelファイルを操作するお話その2

目次1 前回は･･･2 考え方3 保存したフォーマットにデータを入れる4 ExcelからPDFへ変換する4.1 mpdfで変換する4.2 TCPDFで変換する4.2.1 IPAexフォントのインストール5 結局何がいいの？前回は･･･前回はPHPでExcelファイルを操作する方法をまとめました。基本的にはCSV出力や一括登録の代替案としてまとめましたが、PhpSpreadsheetを使うことでExcelで作成した書類のフォーマットにPHPでデータを入力してPDFで出力す […]

2023年10月24日

プログラミング

【PHP】PHPでExcelファイルを操作するお話その1

目次1 こういうことってないですか？2 インストール方法3 PHPでライブラリの呼び出し方4 Excelファイルのエクスポート方法4.1 ちなみに･･･5 Excelファイルのインポート方法6 これを組み合わせると？？？こういうことってないですか？ webでの管理システムを設計するときに「CSVでインポートやエクスポート機能を付けてよ」って言われる事があります。インポートに関しては一括登録や一括削除や更新など割とリスクが大きいのですが、エクスポートはあったりします。 CS […]

2023年10月23日

スマホアプリ

【Android】スプラッシュスクリーンを設定するお話

スマホアプリを作る上で欠かせない･･･訳ではないですが、アプリの構成に必要なのはスプラッシュスクリーン（以下スプラッシュ画面）ですよね目次1 そもそもスプラッシュ画面とは？2 Androidアプリで実装する場合（今まで）3 SplashScreen API登場3.1 スプラッシュ画面用のActivityを用意する3.2 themes.xmlにテーマを記述するそもそもスプラッシュ画面とは？スマホアプリにかかわらず、ほとんどのアプリやプログラムを起動した際に一瞬表示される画 […]

2023年10月23日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによるログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【PHP】PHPでExcelファイルを操作するお話その2

【PHP】PHPでExcelファイルを操作するお話その1

【Android】スプラッシュスクリーンを設定するお話

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによる ログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【PHP】PHPでExcelファイルを操作するお話 その2

【PHP】PHPでExcelファイルを操作するお話 その1

【Android】スプラッシュスクリーンを設定するお話

SSLによるログインと管理画面へのアクセスを強制する

【PHP】PHPでExcelファイルを操作するお話その2

【PHP】PHPでExcelファイルを操作するお話その1