HP関連 WordPress

Wordpessのセキュリティー向上対策(管理画面アクセス制限、攻撃対策)

更新日:

wordpessは日々の更新が大変便利で、使っている人も多くいるのではないでしょうか。

そこで、今回はWordpessのセキュリティー確保のポイントを照会します。

マイナーアップデート

対策優先度:

Wordpessはシェアが高い分、脆弱性は日々公開されています。

必ずマイナーアップデートは自動更新しましょう。

wp-config.phpの取り扱い

対策優先度:

wp-config.phpのファイルには重要なDBへの接続情報等の情報が記載されています。

一階層上げてもwordpessは認識するので、公開ディレクトリの上の階層に置きましょう。

レンタルサーバ等で公開ディレクトリ外にファイルを設置できない場合は、

確実にアクセスされないようにアクセス制限をかけてしまうのもお勧めです。

<Files "wp-config.php">
order deny,allow
deny from all

管理画面へのIP制限

対策優先度:

管理画面にIP制限を入れることで総アタックなどの攻撃を防ぐことができます。

Apachの場合は/wp-adminのあるディレクトリに以下の「.htaccess」ファイルを配置します。

注意ポイント

・「admin-ajax.php」についてはプラグインで使用している場合も多いので対象が外した方がいいでしょう。

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
<FilesMatch "(admin-ajax.php)$">
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none

また、「wp-login.php」あるディレクトリ以下の「.htaccess」ファイルを配置します。

<Files "wp-login.php">
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

xmlrpc.phpの対策

対策優先度:

Xmlrpcはスマホアプリ等の外部のアプリケーションから投稿等が行える便利な機能ですが、DOS攻撃、ブルートフォースアタックに悪用されることも多い機能です。
もし使用していないのであればアクセス制限をかけてしまう事を推奨します。

<Files xmlrpc.php>
Order allow,deny 
Deny from all

 

その他の対策

対策効果は薄いがやっておいても良い対策です。
対策優先度:

不要なファイルの削除

・license.txt
・wp-config-sample.php
・readme.html
古いバージョンは「redme.html」にバージョン情報の記載があったりもしましたが、今はバージョン情報も含んでなく削除する意味もほとんど無いですが、必要に応じて消しておきましょう。

注意ポイント

・削除してもバージョンアップ時に復活するので「.htaccess」等でブロックするのをオススメします。

  • この記事を書いた人
さすけ

さすけ

インフラエンジニアとして数々の大手サーバーを構築を実施し、現在はWebサーバーの構築、サイト作成を中心に活躍しています。

-HP関連, WordPress
-,

Copyright© さすけのプログラミング入門 , 2018 All Rights Reserved.