HP関連 WordPress

Wordpessのセキュリティー向上対策(管理画面アクセス制限、攻撃対策)

更新日:

wordpessは日々の更新が大変便利で、使っている人も多くいるのではないでしょうか。

そこで、今回はWordpessのセキュリティー確保のポイントを照会します。

マイナーアップデート

対策優先度:

Wordpessはシェアが高い分、脆弱性は日々公開されています。

必ずマイナーアップデートは自動更新しましょう。

wp-config.phpの取り扱い

対策優先度:

wp-config.phpのファイルには重要なDBへの接続情報等の情報が記載されています。

一階層上げてもwordpessは認識するので、公開ディレクトリの上の階層に置きましょう。

レンタルサーバ等で公開ディレクトリ外にファイルを設置できない場合は、

確実にアクセスされないようにアクセス制限をかけてしまうのもお勧めです。

<Files "wp-config.php">
order deny,allow
deny from all

管理画面へのIP制限

対策優先度:

管理画面にIP制限を入れることで総アタックなどの攻撃を防ぐことができます。

Apachの場合は/wp-adminのあるディレクトリに以下の「.htaccess」ファイルを配置します。

注意ポイント

・「admin-ajax.php」についてはプラグインで使用している場合も多いので対象が外した方がいいでしょう。

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
<FilesMatch "(admin-ajax.php)$">
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none

また、「wp-login.php」あるディレクトリ以下の「.htaccess」ファイルを配置します。

<Files "wp-login.php">
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

xmlrpc.phpの対策

対策優先度:

Xmlrpcはスマホアプリ等の外部のアプリケーションから投稿等が行える便利な機能ですが、DOS攻撃、ブルートフォースアタックに悪用されることも多い機能です。
もし使用していないのであればアクセス制限をかけてしまう事を推奨します。

<Files xmlrpc.php>
Order allow,deny 
Deny from all

 

-HP関連, WordPress
-,

Copyright© さすけのプログラミング入門 , 2018 All Rights Reserved.