1. TOP
  2. Wordpress
  3. WordPressをプラグインなしでセキュリティーを守る方法

WordPressをプラグインなしでセキュリティーを守る方法

WordPressをプラグインなしでセキュリティーを守る

WordPressは使用している人も多いため、不正アクセスをする人の標的となりやすいです。
強固なセキリティーを施すことにより、ブログの乗っ取りや改ざんを防ぐようにします。

この記事では、一般的なセキュリティープラグインを使用せずに、WordPressを様々な方法で保護する方法を紹介します。

WordPressをセキュリティーをアップさせる方法は沢山あります。この記事では、WordPressで簡単に実装できて効果のある方法を紹介します。

WordPressを安全にインストールする

WordPressはシンプルで簡単にインストールできます。そのため、ハッカーは初期設定では様々な、不正なアクセスを行う可能性があります。

なるべくWordPressの使用は、デフォルトのままにしないことが賢明です。
標準とは異なる設定により、不正アクセスすることをより困難にします。

ここでは、WordPressの新規インストールを設定する際にいくつかの注意する点を記載します。

テーブルのプレフィックス

DBで使用するテーブルの接頭辞は標準では「wp_」です。これを異なる文字列に変更します。

「wp-config.php」の「$table_prefix = ‘wp_’;」の「wp_」を違う文字に変更します。

認証ユニークキー

WordPressの安全性を高めるために4つのセキュリティキーを設定します。4つのキーは異なるCookieに割り当てられ、WordPressのセキュリティを強化するために異なる場所で使用されるため、インストールごとに異なるキーがあることも重要です。

WordPressの「wp-config.php」には、「認証用ユニークキー」を設定する部分があります。

標準的に以下のような記述があれば問題ありません。以下のコードは一例です。

上記のような記述がない場合は、WordPress.org の秘密鍵サービスにアクセスして取得します。
これを「wp-config.php」内の「認証用ユニークキー」に記述します。

ファイルとフォルダのパーミッション設定

ファイルとディレクトリのパーミッションを適切に設定します。これにより、攻撃者がファイルやディレクトリを変更することを困難にします。

1.WordPressのデータがあるフォルダ(wp-contentやwp-adminやwp-config.phpがあるところ)のルートにテキストファイルで「robots.txt」を作成します。

このファイルに「Disallow」と記述します。

これで、検索エンジンロボットに見られることはありません。

2.フォルダのルートに「index.html」が無い場合は作成します。
これで、 ファイルを一覧で見られないようにできます。

wp-contentの名前変更

テーマやプラグイン、画像などのファイルがある「wp-content」フォルダの名前を変更します。

標準では、ブラウザのソースコードを見れば、href="http://〇〇.com/wp-content/uploads/2017/03/abc.jpg"等が記載されてあります。

WordPressを使用しているかどうかは、ソースコードの「wp-content」があれば容易に判断がつくので、知られたくない場合は変更する方が良いです。

1.FTPなどを使用して、「wp-content」の名前を変更します。

wp-contentのリネーム

2.「wp-config.php」を開いて、次のコードを追加してください。「abc」は変更したフォルダ名に変えてください。

上記のコードを追加した後、次のコードを追加することができます:

設定の変更を正しく行った場合は、wp-adminにログイン後に、テーマに移動してテーマを再起動する必要があります。また、プラグインによっては不具合が起きる可能性があります。そのため、「インストール済みプラグイン」ページに行き、全てのプラグインを再度有効化する必要があります。

サイトを新規に運営する場合は問題ありません。しかし、過去記事に画像を投稿していている場合は、imgのURLが変わったために、画像表示がエラーになっているはずです。URLを正しく置換してください。

別のリネーム方法

「wp-content」のフォルダ名を変更するのに別の方法もあります。

以下のコードを「wp-config.php」に記述します。「abc」は任意で変更してください。

別のリネーム方法2

「wp-content」のフォルダ名を変更するのに別の方法もあります。

以下のコードを「wp-config.php」に記述します。「abc」は任意で変更してください。

注意事項

「wp-config.php」にリネームコードを記述する際は以下のコード部分の直前に記入してください。

安全なアクセス

バージョン2.6では、インストールのバックエンドを保護するための新しいオプションが追加されました。SSL経由のアクセスは、データを送信するための暗号化プロトコルです。これにより、全てのデータはバックエンドで暗号化されます。

1.「wp-config.php」を開いて、次のコードを追加してください。

インストール済みの保全

インストール済みのブログも簡単な手順で安全にすることができます。

ブログが既に運営していて、DBにデータがある場合は、テーブル接頭辞を変更すると致命的なエラーになります。
この場合は、データベースをSQLで変更します。

1.標準設定されているのテーブルのプレフィックスを以下のように変更します。

2.次にフィールドをリネームします。
この設定で、テーブルのフィールドを識別するプレフィックスが変更されます。

3.DBを検索して、他の値を変更します。

ユーザー名の変更

デフォルトのインストールのユーザー名はadminです。インストール後、このユーザーを削除して、別名に変更します。

1.DBからユーザー名とIDを以下のように変更します。

WordPressのバージョンを表示しない

WordPressのバージョンは、ブログの多くの部分、バックエンド、フィード、テーマに表示されます。各バージョンにはバグがあり、それを攻撃者が知っていると良くありません。

1.functions.phpに以下のコードを記載すると、バージョンは表示されなくなります。

また、全てのエリアから完全に削除する場合は、プラグイン「Secure WP」を使用すると良いです。

エラーメッセージを無効化

エラーが表示された場合は、WordPressのログインを簡単にするためのヒントを提供することになります。
ユーザにとってエラー情報は有用ですが、ハッカーにとっても有用です。

これらのエラーメッセージを表示必要があるかどうかを検討してください。
それ以外の場合は、前述のプラグイン「Secure WP」で無効にすることができます。

1.「wp-config.php」内に下記のコードを記述をします。

.htaccessの設定

「.htaccess」を使用すると、セキュリティー設定ができて安全性が強化されます。

1.ログインページ「wp-login.php」のアクセス時に、ベーシック認証を設定します。

2.「wp-config.php」のアクセスを保護します。

3.ファイルやフォルダのアクセスを保護します。

4.ログインページの変更

ログインするURLを変更することにより、ログイン画面を見つけられないようにします。

以下のコードを追加します。「wp-login.php?abc」がログイン時のURLです。別のURLに変更したい場合は「abc」の部分だけ、任意で変更してください。

「ここにサイトのURLを記入する」を自サイトのURLに変更します。

5.海外からの管理者ログインを禁止します。

日本からのみ管理者ログインができるようにします。以下のファイルをダウンロードして、「.htaccess」にコードを追加します。

海外からの管理者ログインを禁止.text ダウンロード

もし、海外からの管理者ログインと書き込みを禁止したい場合は、
<Files "wp-login.php">の部分を<Limit POST>に変更してください。

これで海外からの不正ログインを防ぐことが出来ます。

まとめ

WordPressは、アクセス数が多くなってくると、次第に攻撃されるリスクも高くなってきます。
全てセキュリティーを完全にすることは難しいかもしれません。しかし、必要なセキュリティーを設定した上でサイトを守ることが大切です。

これらのセキュリティー設定は、プラグインを使用すれば簡単に実装することができます。
但し、重くなる原因にもなりますので、必要に応じて手動でできることは装備することが良いと思います。

Webサイトを乗っ取られたり、改ざんされてからでは遅いので、普段からしっかり設定しておくことが大切です。

コメント

フォーム

メールアドレスが公開されることはありません。