2013年04月19日

WordPressのセキュリティ向上に最低限必要な12の設定 このエントリーをはてなブックマークに追加

最近いろんなWebサービスが攻撃対象になり、各種サービスでは開発者が其々セキュリティ対策にサービスを更新する日々が続いている。既存サービスの場合は開発元がセキュリティ対応してくれるのだが、WordPressなどのような自分でCMSサービスを設置するタイプのものは自分でこのセキュリティ対策をし続けなければならない。

どこまでやればよいか悩ましいところもあるが、WordPress Securityに良く知られた定番のものから忘れがちな設定までまとめられていたのでメモっとくばい。
どれも直ぐに使えるものばかりなので一度設定してみるとよいですな。

1. 最新バージョンにアップデート

各種セキュリティ対応した最新バージョンにアップデートしておきましょう。プラグインについても更新しておこう。

2. ログインのカスタマイズ

デフォルトのAdminユーザのままではなく独自のユーザを作成し管理者権限を付与するようにしましょう。念のためデフォルトのAdminユーザは削除しちゃおう。で、この管理者用に作った独自ユーザは投稿用に使わないようにしましょう。管理者用アカウントを見せないほうがよいですな。

3. WordPressのバージョンを隠しましょう

どのバージョンを使っているかわかってしまうとそのバージョンに対する脆弱性を突かれる可能性があるよ。

4. ファイルシステムの権限を制限しよう

ファイルの権限はchmodを使って適切に制限しておこう。

5. バックアップを取っておこう

こまったときのバックアップ。バックアップのためのプラグインも幾つか出ているので活用しよう。

6. プラグインのアクセスを制限しよう

www.your-domain.com/wp-content/plugins/ とかにアクセスしたときプラグインファイルの一覧などが出てこないように空のindex.htmlを置いたり.htaccessで制限をかけたりしましょう。

7. データベーステーブルの接頭辞を変更

デフォルトの「Wp_」ってのはやめて別の接頭辞を使おう。

8. デフォルトの秘密鍵を変更しよう

secret-keyジェネレータにアクセスして AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY , NONCE_KEY , AUTH_SALT , SECURE_AUTH_SALT , LOGGED_IN_SALT , NONCE_SALT の値を変更しておこう。

9. セキュアなログインページ

ログインページのエラーメッセージを削除するようにしよう。
add_filter('login_errors',create_function('$a', "return null;"));
こうするとユーザ名とパスワードの部分に表示されるエラーを表示しないようにできるようです。

10. セキュアなデバイスを使おう

PCとサーバのウィルス対策、OSのアップデートはしておこう。

11. ログイン情報を共有しないようにしよう

他人とログイン情報を共有しないようにしよう。ソーシャル・エンジニアリング対策には限界がある。最もセキュリティ的に弱いのは人間ですな。

12. コンテンツを保護しよう

コンテンツをアップロードする際、意図せずにマルウェアなどをアップロードしてしまうことがあるかもしれない。更新作業は慎重にやりましょう。

なお、11にも少し言及されているがWordPressを動かすためのApache , PHP , MySQLやPostgreSQLなどのデータベースに代表されるミドルウェア及びLinuxなどのOSそのもののセキュリティ対策は別途必要である。

他にもいろいろあるのかもしれんが少なくとも上記12個はやってみたほうがよいですな。
( via WordPress Security
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: