【Pくんが教えるWAF】 WordPress管理者なら注目!WordPressのセキュリティ強化のためにしておくべきの5項目とは?

*この文の筆者はGloria Koppでクラウドのブリックの意見を反映されていません。Gloria KoppはPaper Fellowsのウェブマスターである同時にコンテンツマネージャでもあって、ハフィントン・ポストとAustralian Helpのコラムにコンテンツを提供しています。また、GloriaはStudydemicのブログにガイドとレビューを掲載しています。

 

WordPressの管理者なら注目!

WordPressのセキュリティ強化のためにしておくべきの5項目とは?

 

WordPressはインターネットで最も人気のあるウェブ基盤プラットフォームの一つです。実際にも、見れるインターネットの28%以上は、WordPressを利用して彼らのウェブサイトを管理しているそうです。ですが、WordPressCSSコードとプラグインを通じると誰でも編ができるオープンソースプラットフォームであるため、セキュリティ脅威の可能性も当然存在しています。

 

WordPressの代表的な特徴の一つは、すべてのウェブサイトで同一だということです。それでハッカーや良くない意図を持った使用者は、メインフレームで彼らに適した方式を知ることができます。 もしテーマ、プラグインのようなサイトに脆弱性があるとしたら、ハッカーはその脆弱性を狙うはずです。

 

このようなセキュリティ脅威を最小化するために、WordPressでよく発生するセキュリティ脅威要素5つと、それに対しての対策を紹介したいと思います。しかし、以下の対策は大概、ある特定のセキュリティ問題を解決するために、プラグインをダウンロードするオプションが入っている点を含んでおいてください。プログインは元々見知らぬ他人によって開発されて、インターネットにアップロードされる故に、セキュリティ問題を解決しようとダウンロードしたプログイン自体がセキュリティ問題になる可能性があるからです。ですから、つねに公式的で、信用できるルートを通じてプログインをダウンロードすべきです。また、WordPress ウェブサイトで使用しているプログインを正確にチェックしなければなりません。

 

1.WordPressプラットフォームは隠くすこと

 

皆さんのウェブサイトにログインした誰かがWordPressにすでにログインされているとしたら、ページの上段にディスプレーバナーが表示されます。これを通じると、ハッカーがどのようなウェブサイトをタゲットにしているかを、WordPressを通じて容易に知ることができます。

 

Big Assignmentsのサイバーセキュリティ管理者のPeter Rollinsは「WordPressロゴやWordPressコードに入っているバージョン番号などを、手軽くウェブサイトのフッターに表示できる。もしこの情報を隠せるなら、ハッカーは当該タゲットがWordPressを使用しているかどうかがより確認しづらくなる。」と言及しました。

この問題を解決する最も簡単な方法の一つは、「Hide My WP Plugin」のようなプラグインを使用することです。こうすると、悪意のあるなインターネットユーザーからWordPressプラットフォームを隠すことができます。

 

2.WP-Adminページを設定しておくこと

 

WordPressを隠しても、ハッカーは「wp-admin」というコードをURLに追加することで、情報をログインページへの流出を試みるかも知れません。この攻撃を防ぐためによく使われる二つの方法があります。その一つは、専用プログインを利用してページを完全に隠したり見えないようにして、選択したURLに既存のURLを変更できるようにするのです。別の方法は、サイトのログインページにロックをかけてIPアドレスを通じないと、アクセス自体ができないように設定するのです。

 

3.パスワード入力回数を制限すること

 

WordPressは、ログインに必要な情報のパスワード等の入力が何回も間違ったとしても、また何回も接続試しができます。UkwrittingsのデータアナリストであるAngelina Tigheは「このようなWordPressの特徴は、あなたのウェブサイトを無差別に攻撃を行うハッカーや好奇心の強いユーザにとって、狙われやすいウェブサイトにする。複雑なパスワードを設定したとしても、努力とハッキング実力があるとすぐにパスワードを解くことはできる。」と説明しました。

 

ですが、幸いにもパスワード回数を制限する方法があります。「Limit Login Attempts」というプラグインを使用すると、一定時間当該アカウントにロックをかけることができます。WPEngineを使用する場合にはこの作業が自動的に実行されます。

 

 4.ログインエラー時のエラー文を変更しておくこと

 

WordPressはパスワードが異なった場合に、ログイン画面に正しいユーザの名前を入力したかどうかを知らせます。つまり、ハッカーがユーザの名前を正確に入力した場合、WordPressはユーザの名前が正しく入力されたことを知らせることで、パスワードを当てればログインができるという情報を提供してしまうのです。

 

しかし、この問題は「fuctions.php」という名前のファイルに以下のコードを入力することで、簡単に解決できます。このコードを使うと、ユーザ名とパスワードの両方が正しく入力されるまでは、ログイン詳細情報が正しくないというメッセージだけが表示されます。

 

function failed_login() {return'The login information you have entered is incorrect.';

}

add filter('login_errors'、'failed_login');

 

5.コンテンツ編集権限設定しておくこと

 

WordPressはダッシュボードを通じてテーマデータとコンテンツを編集したりアクセスすることができて便利です。しかし、簡単で便利な反面、ダッシュボードにアクセスできる人が、コンテンツをバックアップしなかった場合は、復旧する時間に莫大な被害を受ける可能性があります。

 

ですが、AcademizedのIT管理者であるLynette Valliereはこの問題を、管理者だけがFTPサーバ設定を通じてファイル編集できる点を利用して、「function.php」というファイルに以下のコードを追加することで、ダッシュボード編集権限を簡単に転換することで解決できると説明しました。

 

define('DISALLOW_FILE_EDIT'、true);

 

結論

 

上に述べたように、WordPressは確実に優れたウェブサイト・ブログ作成道具の一つであるのはともかく、セキュリティ問題があるという点は否定できません。ですが、いくつかの簡単で効率的な処置を通じると、インターネットの有害な要素からウェブサイトやサイト内のコンテンツを保護できます。ウェブサイトセキュリティについてより詳しい情報については、以下のバナーをクリックしてください。

 

f:id:PentaSecurity:20171205135455p:plain