Wordpressを利用する際、レンタルサーバのインストール機能を使う方が多いようです。制作状況によっては、Wordpressだけインストールされた状態で本番サーバに直接構築することもあります。
サーバやOSの基礎知識がある方には、本番サーバで直接作業するよりも、XAMPPをローカルPCにインストールしてバーチャルホスト設定を利用して制作することを薦めています。ローカル構築してデータベースごと移行すれば、制作時間のスピードアップに繋がります。
さて、本ブログでは、標準インストール状態のWordpressを利用している場合に気をつけるとよい点などを、Wordpress技術備忘録としてまとめていこうと思います。
第一回、Wordpress管理画面への攻撃防御について。
Wordpressはブログシステムとして広く愛され、PHPによるカスタマイズの自由度が高いためにCMSとしても人気を誇っています。導入が手軽ゆえ、サンデープログラマや個人ユースの多数のサイトが存在しています。サイト数がおおいとゆうこと、オープンソースであること、プラグインなど拡張機能のコミュニティも広大です。
ユーザ数の多いコミュニティであるが故、常に狙われています。悪意ある攻撃者による改ざんなど常に危険にさらされていることは意識しなければなりません。特に小規模な企業サイトなど、一度公開してしまうと保守することなく、バックアップをとることもなく放置されてしまう場合なども見受けられますので、公開時に最低限は対策をしておくことをお勧めします。
管理画面を守る。
改ざんなどの最悪の状態への入口、サーバへの高負荷攻撃など、迷惑極まりないのが管理画面への無差別アクセスです。悪意あるプログラムはランダムに生成したユーザ名やパスワードを管理画面のURLと思われるところへ大量にになげつけてきます。
管理画面への攻撃対象として一番わかりやすいのが「管理画面のURLが判明している、または推測しやすいこと」です。Wordpressはオープンソースですから、当然管理画面のURLは誰もが知っています。そこで、もっとも初歩的なWordpressのセッティングとして、「管理画面のURLを変更する」ことを推奨しています。
管理画面のURLを変更する。
方法はいくつかあります。URLを変更せずにBASIC認証、IP制限などでディレクトリにアクセス制限をかける事も大切な方法です。robots.txtでクローラーを避けておくのも大切です。今回は3つのセッティングを書いておきます。2つ以上を組み合わせれば、より強固な設定ができます。
1)Wordpressのインストールディレクトリを変更する。
Wordpressをドキュメントルートにインストールせずに、サブディレクトリを作成してインストールする。(サブディレクトリには自由な名前をつけてください。「wp」は人気がありすぎて推測されてしまいます。)
Wordpressをサブディレクトリへインストールする手順 公式ドキュメント »
2)管理画面のURLを変更するプラグイン、Protect your admin
このプラグインをインストール&設定すると、URLを手軽に変更することができます。
https://ja.wordpress.org/plugins/protect-wp-admin/
3)管理画面のログイン情報に認証コードを追加するプラグイン、Stealth Login Page
このプラグインは、ログイン画面に認証コード(authorization code)という項目を追加します。設定で任意に決めたコードを入力しないとログインすることができません。ボットによるログイン画面への攻撃を抑制します。
https://ja.wordpress.org/plugins/stealth-login-page/
備えあれば憂い無し。インターネットでもとても重要なことばですね。泥棒や強盗、悪質な業務妨害を計るいたずらが”自動化されたプログラム”で世界中を駆け巡っています。
管理画面を守る事、サイトデータを必ずバックアップすること、まず基本的なことをはじめてください。
