WordPress でサイトを運営する・している場合にセキュリティ観点として確認したい項目
最新バージョン
利用している WordPress の世代・バージョンを確認。
WordPress は、最新バージョンの利用を推奨しています。2020年1月8日現在の最新バージョンは、「5.3.2」となっています。
公式サイトから確認できますので把握しておきましょう
リリース | WordPress.org 日本語
管理画面
wp-admin へのアクセス制限
誰もが管理画面にアクセスできる状態になっていないかを確認。
4G回線から "サイトURL/wp-admin" にアクセスください。
そのままログイン画面が表示される場合、アクセス制限がない可能性があります。
admin アカウント
アカウントに "admin"や "administrator"がないかを確認。
乗っ取りのターゲットになり易いアカウントは、利用しないようにする。
ログインURLの変更
デフォルトのログインページURLを変更し、ログインページへのアクセスを防ぐ
出力情報
wordpress 情報
- wp_generator
- 利用中のWordPress バージョンが に出力されます。
- バージョン情報を出力しないようにします。
- rsd_link、xmlrpc、wlwmanifest
- 外部ツールとの連携URLが出力されます。
- 出力されないようにします。
その他
プラグインの脆弱性を確認
利用するプラグインに脆弱性が存在しないか「脆弱性対策情報データベース」で確認
脆弱性対策情報データベース 検索キーワード「WordPress」
深刻度のレベルを合わせて確認ください。
Rest Api を無効化
Rest Apiの利用が無い場合は、無効化しましょう
【WordPress】特定のプラグインが動作するようにREST APIを無効化する方法
参考
WordPressのfunctions.phpにとりあえずコピペしておくべきコード
WordPressのログインページURL変更は一番効果のあるセキュリティ対策のひとつ
WordPressのセキュリティ対策!自分でできる対策方法まとめ