WordPressを安全に使うための対策


今年の夏の終わりごろ(2013年8月末時点)、国内の利用者も多いレンタルサーバーで、
WordPressを使用しているサイトが改ざんの被害にあったと発表されました。

「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

原因はサーバー側の設定にあったようですが、
WordPressを使うユーザー側も充分注意しなければいけない問題かと思います。
そこでユーザ側でやっておいた方が良い対策を、いくつかまとめておきたいと思います。

ユーザー名にadminは使わない

ユーザー名のadminを狙ったブルートフォース攻撃(総当たり攻撃)が問題になっています。
そこでWordPressをインストールする際のユーザー名はadmin以外にする。
また既にadminのユーザー名がある場合は、ユーザー名は変更出来ないので、
別の管理者権限のユーザー名でログインし(無い場合は新たに作成)、管理画面のユーザー一覧からadminを削除。
adminのユーザー名で作成した記事は、別のユーザーの投稿として割り振ることができます。

WordPressのバージョンアップは小まめに

WordPressのバージョンは最新のものが出たら、なるべくアップグレード。
サーバーによってはPHPのバージョンによって最新のものが使えない、
といった場合もあるので、使用するサーバー選びも大切かと思います。

安易にテーマを使用しない

WordPressでは無料で配布されているテーマがありますが、
中には悪意のあるコードが含まれるテーマもあったりするようです。
特に海外製のテーマを使う場合は、なるべく公式サイトに登録されているものを使う、
使う前にそのテーマについて検索して調べてみる、ことが大切かと思います。
また使用しているテーマに問題があるかどうかAntiVirusというプラグインでチェックできます。

WordPressのテーマに問題が無いかチェックする「AntiVirus」

バックアップは定期的に

以前に某サーバーにて顧客データが損失される事態がありました。
何処のレンタルサーバーでも、100%同じようなことが起きないとは言い切れないと思うので、
定期的にバックアップを取ることは大事だと思います。
バックアップを取るプラグインに、WP-DBManagerや、BackWPupなどがあります。

バックアップを取る「WP-DBManager」

サイトごとバックアップする「BackWPup」

プラグイン等でセキュリティ対策をする

WordPressではセキュリティ対策に関するプラグインも多数あります。
当サイトでもいくつか紹介しているので、ご参考に。

セキュリティ関連

その他、管理画面にアクセス制限をかけるなどの方法があります。
詳しくはgatespaceさんの記事等が参考になると思います。

WordPressの管理画面に制限をかける(ver3.5.1)

タグ:

記事公開日:
最終更新日:

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)