開設:2017年12月11日
簡単インストール機能などでもご提供しているブログアプリケーション『WordPress』において、管理画面への不正アクセスによりホームページが改ざんされたり、脆弱性を突いたデータベースの不正操作などの被害が報告されています。
当社では、ご契約のサーバーに対する不正アクセスには十分な監視体制と注意を払っておりますが、Webアプリケーションに対するセキュリティ対策は、本ページの情報をご確認の上、お客様にて実施をお願いします。
WordPressに関する被害事例で多いのが、ユーザー名/パスワードの漏洩による管理画面への不正ログインです。
ホームページの改ざんの大半は、この不正ログインによるものですので、ログイン情報は正しく設定/管理する必要があります。
ユーザー名が漏洩すると、パスワードだけの総当り攻撃で突破される可能性が上がるため、ユーザー名にも注意する必要があります。
セキュリティの観点から、以下のような運用をご検討ください。
認証用ユニークキーとは…
「ログイン状態を保存する」を設定していても、以下の手順で認証用ユニークキーを変更すると、すべてのユーザーに対して再ログインを強制することができます。
パスワード変更と合わせて実施することで、不正利用を締め出すことが可能になります。
1. サーバーにアクセスし、以下のファイルをダウンロードします。
ファイル:/(WordPressインストールディレクトリ)/wp-config.php
2. ダウンロードした「wp-config.php」ファイルをテキストエディタで開き、『define('AUTH_KEY'~』から『define('NONCE_SALT'~』の行を、こちらで表示されている内容に変更します。
3. 編集が完了したら、サーバーのファイルを上書きします。
WordPress管理画面への不正アクセス自体を防止するため、ログイン画面に対してアクセス制限を実施します。
ログイン画面(wp-login.php)へのアクセス制限は、以下の手順で実施します。
1. サーバーにアクセスし、以下のファイルをダウンロードします。
ファイル:/(WordPressインストールディレクトリ)/.htaccess
2. ダウンロードした「.htaccess」ファイルをテキストエディタで開き、以下の内容を追記します。
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 000.000.000.000
</Files>
※ 「000.000.000.000」の部分は、お客様環境のIPアドレスを指定してください。
※ お客様環境が固定IPアドレスでない場合は、IPアドレスによる指定はできません。
※ 記述の最後は必ず改行を入れてください。
※ アップロード後にWordPressへのアクセスに問題がないかをご確認ください。
3. 編集が完了したら、サーバーのファイルを上書きします。
簡単インストール機能を利用してWordPressをインストールすると、セキュリティ対策プラグイン「SiteGuard WP Plugin」も同時にインストールされます。主に管理画面へのアクセスを管理し、不正アクセスを防止するプラグインです。
WordPressのインストールディレクトリには、WordPressの環境設定を行う重要なファイル「wp-config.php」が存在します。
「wp-config.php」には、データベースにアクセスするためのIDやパスワードなども記述されているため、不正に操作されるとデータの漏洩などの危険性があります。
サーバーにアクセスし、以下のファイルのパーミッションを、標準の「644」から「400」に変更します。
ファイル:/(WordPressインストールディレクトリ)/wp-config.php
※ 変更方法はFTPソフトの機能などをご利用ください。WordPressを利用する上で、プログラムの更新は重要です。
管理画面のユーザー名、パスワードやデータベースの情報は、通信経路上から漏洩する可能性も考えられます。
際限なく増え続けるコメントスパムには、以下の方法で対応します。
WordPressに同梱されているコメントスパム対策プラグイン「Akismet」を利用します。
「Akismet」は、コメントスパムをフィルタリングしてくれるので、選別がやりやすくなります。
※ 個人のホームページの場合は、無料でご利用いただけます。
※ 詳細のご利用方法は、上記の公式ホームページなどをご参照ください。
ここまではすでにインストール済みのWordPressを中心とした内容をご案内してきましたが、今後、WordPressを新規インストールする場合は、以下の点に注意して作業を実施してください。