WordPressのセキュリティについて
WordPress関係の記事は供給量が多いので、当ブログでは扱わないつもりだったんですが、これだけはと思うものはちょっとずつ書こうと思います。
Jetpackを入れてからちゃんと見ていなくて、こんな感じで”悪意あるログイン試行”がなかなかの数になっていることに気がつきませんでした。そんなにアクセスがあるサイトでもないし…などと思っていてはいけないですよね。どんな風に悪用されるかわかりません。
ということで、当サイトが取り急ぎ実施したセキュリティ対策です。
インストール時のユーザーは削除する
サーバのオプションでWPの自動インストールを使う場合、うっかりユーザー名を変更せずにサーバ会社のデフォルトの名前のまま使っていることはないでしょうか。もしくは、デフォルトのユーザー名がついたアカウントを残しているとか(恥ずかしながら、私は完全にそれでして…)。
このアカウントが残っている場合は削除しましょう。もし、このアカウントで記事の作成をしていても、削除の工程でデータを引き継ぐことができます。
新規のアカウントを”管理者権限”で登録したあと、”ユーザー一覧”から該当のアカウントを削除します。このタイミングで、データの引き継ぎを他のどのアカウントに引き継ぐかを選ぶことができます。
ログインURLの変更
WPは、おなじみの”http://◯◯◯◯◯◯◯.com/wp-login.php”からログインします。私の場合、URLを変更したあとは、先ほどの”悪意あるログイン試行”はさすがに静かになりました。
私が行った方法は”Login rebuilder”というプラグインです。
使い方は元のサイトの『WordPress私的マニュアル_Login rebuilder:プラグイン作ってみました』で見てください。
任意のURLに変更できて、ダッシュボードに以下のようなログの保存もできます。なんかこわいですねー。
IPアドレスはわかるので制限かけることも可能ですが…それはどうでしょう。
ほかにも”functions.php”へコード追加する方法もあるようです。私は動作確認していません。
WordPressでログイン画面のURLを変更する_com4tis
余談ですが、ログイン画面、管理画面に認証をかけるのもいいですよね。
wp-config.phpのパーミッションの変更
大切なファイルも守っておいた方がいいでしょう。”wp-config.php”のパーミッションを”400”に変更して、書き込み不可にします。
WPのバージョン情報を表示しない
こちらはもプラグインがあったと思いますが、私は”functions.php”に以下を加えることで非表示にしています。
<?php //Wordpressバージョン非表示 remove_action('wp_head','wp_generator'); ?>
reCAPTCHAを連携させる
お問い合わせで”Contact Form7”を使っているのですが、”reCAPTCHA”が使えるとは知らなくて、この機会に連携させました。
こちらのブログに実装の仕方など解説がありました。私の場合は”Contact Form7”の機能に入っていたので、(googleで登録までは同手順ですが)この方法ではありません。
ウェブサイトにキャプチャを導入する方法【reCAPTCHAの使い方】_知識、感動をみんなと同期(Sync)するブログ
つらつら書いてみましたが、これはほんの基礎的な対策でこれをやったから安心というこのではないです。という本人が怠っていたんですが。
取り急ぎログをとると、何かやろうかという気になるかもしれません。