2020年8月4日

森島

【WordPress】セキュリティ対策 6選

WordPress

facebook
twitter

WordPressサイトのセキュリティを強化するにあたって、「ログインページのURLを変更する」というのはよくある手法ですが、その他にもできることを忘備録として一覧にしました。

1 SSLによるログインと管理画面へのアクセスを強制する
2 クリックジャッキング対策
3 Dos攻撃を防止する
4 REST APIを停止する
5 WordPressのバージョン情報を削除する
6 author IDの取得を制限する
7 YoutubeChannelのご紹介

SSLによるログインと管理画面へのアクセスを強制する

ログイン画面や管理画面へアクセスする際、強制的に暗号化通信にします。

＜編集するファイル＞
wp-config.php

＜方法＞
ファイルに下記を記述します。

define('FORCE_SSL_ADMIN', true);

1	define('FORCE_SSL_ADMIN', true);

＜詳細参考＞
https://wpdocs.osdn.jp/%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2%E3%81%A7%E3%81%AE_SSL_%E9%80%9A%E4%BF%A1

クリックジャッキング対策

クリックジャッキングという、Webブラウザを悪用した攻撃があります。
ページ全体に透明なiframeをかぶせて、閲覧者がリンクをクリックした際に意図せぬ動作をさせます。
具体的には、これを仕込まれると、スパムサイトに飛ばされたり、Twitterで知らないアカウントをフォローさせたり、様々な被害があるようです。
クリックジャッキングを防止しましょう。

＜編集するファイル＞
.htaccess

＜方法＞
.htaccessには、X-Frame-Optionsというオプションがあるので、追加します。
下記の記述で「自身のサイト以外からのフレーム内表示を拒否する」という意味になります。

Header always append X-Frame-Options SAMEORIGIN

1	Header always append X-Frame-Options SAMEORIGIN

「全てのサイトからフレーム内表示を拒否する」場合は下記になります。

Header always append X-Frame-Options DENY

1	Header always append X-Frame-Options DENY

Dos攻撃を防止する

サーバーに過負荷をかけるDos攻撃という手法があります。サービスが極端に重くなったりします。
WordPressには、スマホアプリなどからの更新にも対応するため、/xmlrpc.phpというファイルが存在しますが、これがDos攻撃の対象になることがあります。このファイルへのアクセスをリダイレクトする処理を仕込みましょう。

＜編集するファイル＞
.htaccess

＜方法＞
下記の記述を追加します。

RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

1	RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

REST APIを停止する

通常WordPressはPHPなのでDBから取得してPHPでデータを加工・表示しなければいけませんが、WP REST APIを使用するとJSON形式でデータを取得できるので、javascriptが使用できます。このREST APIを介して色々なデータを取得することができるので、悪用されないように、使用していないのであれば、停止しましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//REST APIを無効化
function delete_rest_api(){
  return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );
}
add_filter( 'rest_authentication_errors', 'delete_rest_api' );

//REST APIを無効化

function delete_rest_api(){

return new WP_Error( 'disabled', array( 'status' => rest_authorization_required_code() ) );

}

add_filter( 'rest_authentication_errors', 'delete_rest_api' );

ただし、プラグインによってはREST APIを使用しているものもあるようなので、挿入後はプラグインが正しく動作するか確認してください。

WordPressのバージョン情報を削除する

脆弱性があるWordPressのバージョンを使用していることがばれると攻撃の対象になりやすいため、ここを非表示にしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

//headerのgenerator
remove_action('wp_head','wp_generator');
//scriptなどの「?ver=xxxx」を削除
function remove_wp_ver( $src ) {
    if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );
add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

//headerのgenerator

remove_action('wp_head','wp_generator');

//scriptなどの「?ver=xxxx」を削除

function remove_wp_ver( $src ) {

if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )

$src = remove_query_arg( 'ver', $src );

return $src;

}

add_filter( 'style_loader_src', 'remove_wp_ver', 9999 );

add_filter( 'script_loader_src', 'remove_wp_ver', 9999 );

author IDの取得を制限する

WordPressにはデフォルトで投稿者の一覧画面が存在します。
authorのIDが分かってしまうと、そこからログインIDまで辿れてしまう場合があるため、セキュリティ上良くありません。
authorの一覧を使用していないようであれば、リダイレクトの設定をしましょう。

＜編集するファイル＞
functions.php

＜方法＞
下記の記述を追加します。

function author_archive() {
  if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
    wp_redirect( home_url() );
    exit;
  }
}
add_action('init', 'author_archive');

function author_archive() {

if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){

wp_redirect( home_url() );

exit;

}

add_action('init', 'author_archive');

YoutubeChannelのご紹介

同様の内容を、動画でご覧になれます。

https://youtu.be/s7xigWJ02UQ

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

【phpdotenv】PHPで環境変数を取り扱うお話

PHPでサーバーの環境ごとに設定ファイルを用意する場合、config.phpなどのファイルにデータベースの接続情報やAPIのキーなどをdefineで登録すると思います。これは昔からある一般的なやり方ですが、例えば「ローカル環境やテスト環境と本番環境で情報を出し分けたい」「GitHubやSubversionなどに接続情報を管理されたくない」ということがあるかと思います。 Linuxの場合は「.env」でユーザーごとの情報をあらかじめ設定することが可能ですが、PHPだとデフォル […]

2024年4月18日

Webサービス

【CAPTCHA系】reCAPTCHAの代替サービスを紹介するお話

みなさん、reCAPTCHAを使ってますか？ CAPTCHAと呼ばれる機能は問い合わせフォームやログインフォームなどいわゆるbot系対策として有効で、その中でもreCAPTCHAは無料かつ簡単に導入できるたため、様々な場所で使われてます。目次1 2024年4月から実質有料化？2 他にないのだろうか？3 アカウントを作る4 PHPでの実装5 最後に 2024年4月から実質有料化？しかし、2024年4月から今まで100万リクエストまで無料だったのが、1アカウント合計1万リクエ […]

2024年4月18日

Webサイト制作

Webアクセシビリティの基本を学ぼう！

近年Webサイト制作時に求められる『Webアクセシビリティ』。正直なんだかよくわからない、ややこしそうだなあと思う方も多いと思います。自分も勉強中ではありますが、今回は対応しやすそうな内容をなるべくわかりやすくまとめてみました。一緒にWebアクセシビリティについて学んでいきましょう。目次1 そもそもWebアクセシビリティってなに？2 基本的な対応内容2.1 色のコントラストをはっきりさせよう2.2 文字サイズを変更できるようにしよう2.3 できるだけテキストベースを心 […]

2024年4月3日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによるログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【phpdotenv】PHPで環境変数を取り扱うお話

【CAPTCHA系】reCAPTCHAの代替サービスを紹介するお話

Webアクセシビリティの基本を学ぼう！

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト

【WordPress】セキュリティ対策 6選

SSLによる ログインと管理画面へのアクセスを強制する

クリックジャッキング対策

Dos攻撃を防止する

REST APIを停止する

WordPressのバージョン情報を削除する

author IDの取得を制限する

YoutubeChannelのご紹介

関連記事

【phpdotenv】PHPで環境変数を取り扱うお話

【CAPTCHA系】reCAPTCHAの代替サービスを紹介するお話

Webアクセシビリティの基本を学ぼう！

SSLによるログインと管理画面へのアクセスを強制する