ミートアップお疲れ様です。
できる限り簡単な方法で書いてあります。
Siteguard WP Pluginをインストール
プラグイン検索画面から「Siteguard」と入力して検索したほうがよさそうです。
ダッシュボードで少なくとも以下を有効にする
- 管理ページアクセス制限
フレッツ系のIPOE(いわゆるIPV6でインターネットを高速に?とか)から接続している場合、ちょっとでもアクセスがないとIPV4アドレスがコロコロかわるので、ABEMAをつけっぱなしにしながらWordpressを操作するか、管理ページアクセス制限ははずしたほうがよさそうです
IPアドレスが変わった時点で404エラーになることを確認済です
NTT系のひかり回線でない場合、もしくはPPPoEの場合はそんなにコロコロIPアドレスが変わりませんので大丈夫です。
- 画像認証(ひらがな画像認証させるだけでもかなり強化できます)
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- XMLRPC防御
- ユーザー名漏えい防御 (https://example.com/?author=1のこと)
できれば以下を有効にする
- ログインページ変更(https://example.com/wp-admin/ から変更すること)
未ログインで直接 https:/
/example.com/wp-admin/ にアクセスすると TOPページにリダイレクトされます。
- フェールワンス
WP Siteguard の最も詳しい公式の説明
借りているサーバーでできること
サーバーにWAFが対応していればすべて有効にする
悪意のコードがポストされないようにするために設定しましょう
悪意のコードが入れられると認証なしでもWordpressを書き換えることができてしまいます。
試しにSQL構文をチャットボットに入れると、WAFが働いており、「寝ている」ことになっています。
(データベースパスワードを意図的に変えても同じことが発生します)
サーバーが対応していれば以下に対応する
- 日本国外からのWordpressログインページへのアクセスをIPアドレスで無効化する
多くの攻撃が中国です。
もし攻撃がやられると?
さいごに
うちの会社も1度やられましたし、知り合いの会社も攻撃されまくっています。
攻撃は無差別にやってきます。
セキュリティーは本当に守りましょう