第06回「WordPressで最低限のセキュリティ対策4選」(穂苅智哉のKUSANAGI高速セキュリティコラム)

1.はじめに
みなさん、こんにちは。WordPress使ってますか? KUSANAGI、使ってますか?
WordPressの高速実行環境KUSANAGIを紹介するコラムを書いている、プライム・ストラテジー株式会社のセールスエンジニア、穂苅 智哉(ほかり ともや)です。
前回は、タイムリーな話題として、WordPressの脆弱性とその対応(保守)についてお話してきました。

前回の記事はコチラ

https://goo.gl/omG0ua

WordPressに限らず、脆弱性(ぜいじゃくせい)というワードは今後ますます見聞きすることが多くなってくるでしょう。
こういった外部要因に対応するために私たちのような企業があるのですが、
WordPressでWebサイトを持っている方たちに絶対やっておいてほしいセキュリティ対策というものがあります。

これは、やり方を知っていれば誰でもできます。まだ行っていない対策がありましたらすぐにやってください!!

2.最低限のセキュリティ対策4選
その1:使用していないプラグインはすぐに削除する
プラグインは色々試してみたくなるのが人の常ではないでしょうか。
WordPressの管理画面からプラグインを検索してインストールするだけで、SNS機能が使えたり、お問い合わせフォームが出来たり、Webサイトに来た数などデータが取れたりできるのですから。
インストールしているだけで使っていないプラグイン、試し、現在は使わなくなっているプラグインってどのWebサイトにも結構あるものです。(おそらく今このコラムを見ていただいている方も・・・)
ただ、こういったものは案外危険であることを知っておいてほしいです。
「停止」にするだけではなく、「削除」しましょう。
もしプラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。
「使わないプラグインは完全削除」です!

その2:ユーザー名とパスワードは推測されにくいものにする
ユーザー名、ID、パスワード、お客様番号、会員番号、ご契約者番号・・・
辛いことに現在の私たちは非常に多くのIDやパスワードを駆使しなければならなくなっています。
セキュリティ上これらが必要であることはわかっているのですが、ここまで膨大なものを覚えることは現実的に不可能ですよね。
すると覚えやすい、自分の身近に関連したものをIDやパスワードとして使用するようになります。
例えば、自分の名前、誕生日、住所、好きな有名人、親兄弟親戚に関連する数字、言葉などなど。会社であれば会社名や所在地、製品に関連したものが推測できます。
これらは、攻撃者(個人情報を盗んだり改ざんしたりしようとする人たち)にとっても容易に推測できるので非常に危険です。
すぐに変更しましょう!
WordPressの管理画面に入って、ユーザーというところから変更できます。

その3:/wp-adminで管理画面のログインページに行けないようにベーシック認証をかける
WordPressのサイトは、デフォルトの状態でURLの後に/wp-adminと付け足すと、WordPressの管理画面ログインページに遷移することが出来ます。

下の画面が、WordPressの管理画面ログインページです。
ここでユーザー名とパスワードを入れると、管理画面へ入れます。

例えば、https://www.sample.comというサイトがWordPressだった場合、https://www.sample.com/wp-adminとしてEnterキーを押すと管理画面のログインページに遷移します。
これ、危険ですよね。
ここまでたどり着いて、ユーザー名とパスワードが簡単なものだったらすぐに管理画面に入られてしまいます。
ということは、/wp-adminと入力してもログインページに遷移しなければ良いわけですよね。
対策の一つが、ベーシック認証です。要は、/wp-adminと打つと、ベーシック認証のIDとパスワードを要求されるようにするのです。
2段階の認証です。
基本的にはサーバ側の設定になるのですが、調べてみるとサーバ会社様でブラウザの画面からクリックしていけば認証がかけられるものもあるようです。
詳しくは、お使いのサーバ会社様+ベーシック認証で検索してみてください。

その4:wp-config.phpをDocumentRootと同階層にする
また技術っぽい感じになっていますが、つまりはWordPressのセキュリティ上重要なファイルであるwp-congig.phpというファイルの場所を移動させるということです。
何故か?
それは、MySQLデータベースへの接続情報などサイトの基礎となる詳細な構成情報が含まれているからです。
KUSANAGIのサイトに詳しく記載しております。
https://kusanagi.tokyo/document/security/

3.WordPressとセキュリティとKUSANAGIとプライム・ストラテジー
「WordPressはセキュリティがちょっと問題になっているって聞いたことがあるから使わないんだよね」
よく聞きますが、「WordPressだから」ではなく、「世界で一番使われているオープンソースのCMSだから」こういった話題がニュースとして広がるのです。
よく使われる理由は、使いやすさや豊富なテーマ、豊富なプラグインだと思います。
特に企業や団体のWebサイトを管理、運営されている方は、上記の対策は少なくともしておくことをおすすめします。
もしこういった運営サイトのセキュリティにご不安を感じておられるようであれば、プライム・ストラテジーにご一報下さい。
一緒に、お客様の不安を解消できるようにサポートさせていただきます。

4.おわりに
今回は、「WordPressを扱う者なら絶対やっておきたい、最低限のセキュリティ対策4選」を紹介いたしました。
一口に「セキュリティ」といっても多様な角度、切り口があるので今回の内容も一つの切り口としてご参考になれましたらうれしいです。
それではまた、次回をお楽しみに!!

※プライム・ストラテジーのWordPress公式サポートについては以下をご覧ください。
https://www.si-jirei.jp/kusanagi/

Related post

更新情報

最新コラム

  1. 本連載では、全国の企業の皆様がICTを有効活用して、業務課題の解決や生産性の向上を通じて残業時間の短…
  2. はじめに みなさん、こんにちは。 8月は、僕も大好きな会社さまにKUSANAGI…
  3. 前回(第3回コラム)は、現在のOffice365において、メーカーが想定しているであろう使い方につい…

最新事例

  1. アンチウイルス「Dr.Web」の導入事例「日本通運の運行管理システムで活用される約1万台のスマートフ…
  2. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…
  3. 以下の通り、Office365導入事例「プライム・ストラテジー株式会社」を公開しました。興味がある方…

ログインステータス

You are not logged in.
Return Top