いいなもっと.com > Webデザイン > WordPressのセキュリティ強化策
2013
08/ 29

WordPressのセキュリティ強化策

Webデザイン

いやはやまいりました。海外のハッカーにサイトをやられて大変な目に合ったので至急セキュリティの強化をしました。

サーバーのセキュリティ強化

まずはサーバーですが、長いことftpパスワードも管理画面のパスワードも変更していませんでした(オイオイ)。そこで、管理画面のパスワード、ftpパスワードをより長い複雑なもの(英字と数字が入り交じる)に変更しました。

次にしたのが MySQLデータベースの管理画面へのログインパスワードです。これはレンタルサーバーからもらったパスワードをそのまま使っていたのですが、より長い複雑なモノに変更しました。

さらにサーバーの設定で WAF(Web Application Firewall)をオンにしました。したつもりだったのですが、なってなかったようです。このブログでご紹介しておきながら情けない・・・(-_-)

まぁ、この程度のことはセキュリティ強化と言うよりはもはや常識ですよね。おはずかしい・・・

そしてここからが WordPress のセキュリティ強化策です。

Google2段階認証をログインに採用

Google2段階認証でWordPressにログイン

Google2段階認証でWordPressにログイン

これはすでに対策済みだったのですが、ユーザー名を変更します。WordPressではユーザー名はデフォルトでadminになっており、これをそのまま使っているとハッカーにユーザー名を教えているようなものです。ですから変える必要があります。

ユーザー名は変更できませんから、別のユーザーを作成し、ログインし直し、その後adminユーザーを削除してください。

実はこのユーザー名がadminよりも短かったんですよね。それでは何もなりませんからより複雑で推測しにくいユーザー名にしました。

パスワードも当然長く複雑なモノに変更です。

そして最後にGoogle2段階認証の導入です。私はGmailで既に2段階認証を使っていますから、導入は簡単です。Google Authenticator というプラグインをインストールして有効化するだけです。これで認証を受けた(Googleのサイトでバーコードを読ませた)スマホにインストールした専用アプリが生成するパスコードを使わなければログインできなくなります。

WP Security Scan プラグイン

WP Security Scan プラグイン

WP Security Scan プラグイン

次に WP Security Scan というプラグインをインストールします。このプラグインは WordPress のセキュリティの強度を調べ、さらに強化の手助けをしてくれます。この画面は対策後のセキュリティスキャンの結果です。

WordPressをインストールするときにデフォルトの設定でインストールするとデータベースの接頭辞(プレフィクス)はみなwp_とかwp1_とかになります。これではデータベースのファイル名が丸わかりとなりハッカーさん大喜びです。

そこでこの接頭辞を変更してくれるのです。データベースは私も含め素人が下手にいじるとWordPressそのものが動かなくなりますから、これを手助けしてくれるプラグインがあると助かりますよね。私は接頭辞もより長い複雑なモノに変更しました。

データベースの接頭辞の変更が済んだので、WordPressの設定ファイルである wp-config.php ファイルを書き込み不可にしました。ファイルの所有者でも書き込みできません。ftpパスワードがわからなければだれも変更できないはずこれです。

最後に管理者だけがアクセスする(でも重要な)『wp-admin』フォルダに会社のIPアドレスからしかアクセス出来ないように制限をかけました。出先でWordPressの管理画面にログインできなくなるのですが、これはしかたがありません。どうして持って時は、ftpでログインして『.htaccess』ファイルを編集すれば入れます。これでもう一つ安心になりました。

ログインの時にスマホが必要になるだけで他は特に使う上において煩雑になることはありません。これでしばらく様子を見ることにします。

タグ: ,

« »

-->