はじめに
こんにちは。yuki(ほりゆう)と申します。
エンジニアになってから副業でWordPressでのサイト制作や、改修などを依頼されることが何度かありました。
何度か触るうちにWordPressに興味を持ち、世界中のいろいろなサイトがWordPressで開発されてると知り、セキュリティに関しても何か対策したいなと思うようになりました。
本記事では、自分が調べた上で行っているWordPressのセキュリティ対策をご紹介します。
簡単なLinux周りの知識、PHP、WordPressのコード開発の基礎、FTPクライアントなどの知識が前提です。
2022/12/02現在の内容です。
🏷 バージョンを非表示にするぞ〜〜
WordPressはこれまで様々なバージョンアップデートがされ、セキュリティの対策がされています。
一方で、古いバージョンには今は改善されている脆弱性がある可能性が高いです。
もし、ご自身の運営しているサイトのバージョンが攻撃者に伝わってしまうと『このサイトのWordPressはこのバージョンだから、あの方法で悪さをしよう...』と思われてしまいます。
WordPressのバージョンは、ソースを表示すればこんな感じで閲覧できてしまうのです。
<meta name="generator" content="WordPress 3.6.1" />
ということで、これが出力されないようにしましょう。
functions.phpに下記のように記述します。
remove_action('wp_head','wp_generator');
wp_headアクションフックに設定されているwp_generatorを呼び出さないようにするのですね。
関数リファレンス/remove action - WordPress Codex 日本語版
面白いことに、公式でもユースケースとして同様のことが紹介されていました。
wp_generator() | Function | WordPress Developer Resources
📛 投稿者名を非表示にするぞ〜〜〜
WordPressで作成したサイトに記事などを投稿すると、投稿者名が表示される場合があります。また、この投稿者名がWordPressの管理画面にアクセスする際のIDになっている場合もあります。
ということで、IDがバレるのはよくないので非表示にしましょう。
WordPressの管理画面からユーザー>プロフィールでサイト上の表示名を設定できる箇所があるはずです。このにIDではない任意の名前を入れておきましょう。
❗️ 思わぬ落とし穴に注意だぞ〜〜〜
これで表示名を変えることができても、名前の部分をクリックすると投稿者アーカイブページという、これまでその投稿者が投稿した記事などの一覧を見るページに飛ばされてしまいます。
そしてそのURLに元々の投稿者=IDが表示されてしまいます。(確か)
投稿者がそもそも1人のブログなどでは、投稿者ごとのアーカイブページはなくても大丈夫かと思いますのでアクセスできないようにしましょう。
自分はこちらのプラグインを使用しています。
Edit Author Slug – WordPress プラグイン | WordPress.org 日本語
URLを表示しているコードはこちらなので、実装箇所を非表示にするのも良さそうです。
もしくは、難しいコードが書ける方は投稿者アーカイブページにアクセスされた場合、404を表示させるなど。
テンプレートタグ/the author posts link - WordPress Codex 日本語版
こんな素敵な記事もありました。
投稿者アーカイブを無効化してWordPressのユーザ名を隠す方法 – ウェブコンテンツ
本記事では、1つ1つのツールや管理画面の操作には言及せず、対策の方法だけを述べたいと思います。
セキュリティに関しては何をなんのために、何をしているのかリンク先を参考に調べていただき、ぜひご自身の手で理解を深めつつ設定してください。
🔍 /wp-adminで管理画面の認証画面に行かないようにするぞ〜〜〜
WordPressで作成して何も設定していないサイトでは、/wp-adminにアクセスすると管理画面へアクセスするための認証画面が表示されます。攻撃者がここにアクセスできてしまうと、新入まであと一歩なのでよろしくないです。
/wp-adminとURLに入力してもアクセスできないように対策をしましょう。
自分は下記のプラグインを使用しました。
SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ
🙅♂️ ログインの試行回数を制限するぞ〜〜〜
何度もログインの試行が出来ると辞書攻撃に弱くなってしまいます。何度か行うともうログインできなくさせる(もしくは遅延させる)対策を取りましょう。
これも上記で紹介したプラグインを使用するとできます。こういった複数対応ができるのも自分が選定した理由です。
SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ
辞書攻撃 - セキュリティ対策関連キーワード | NTTスマートコネクト
📝 wp-config.php のパーミッションやアクセスに制限をかけるぞ〜〜〜
パーミッションは600で良いと思っています。(オーナーのみ読み書き可能他は不可)
また、.httaccessを編集して関わる方のIPアドレス以外のアクセスを拒否します。
<files wp-config.php>
order allow,deny
deny from all
Allow from 許可するIPアドレス(変更する可能性があるアドレスは注意)
</files>
おまけだぞ〜〜〜
自分はやったことないのですが、こんなものがあるのですね。やってみてもいいかも。 素敵な記事に感謝✏️
WPScanを使ってWordpressをスキャンする - Qiita
本記事を作成する際に、MarkdownのURLを沢山発行しました。[ ]と( )で囲むやつです。いちいち入力すると大変ですが、このChrome拡張機能を使うと右クリック一発なので便利です。
色々な形でリンクの発行ができます。
スシローのデザートのアイスブリュレは、スシローで食べられるものの中で一番美味しい気がします。
ではでは!