eyemovic inc.

Works blog仕事の取り組み・ビジョン

2013.09.11

Wordpress導入時に行うセキュリティ対策

昨今、Wordpressのサイト改ざんハッキング被害が、頻発しております。

先日も某サーバで数千件ものWordpress改ざん被害がありました。

初期段階のセキュリティ対策を怠けて、初期構築工数を減らしたとしても
ハッキングに遭ってからの復旧対応は、初期対応の何倍も工数が掛かってしまいます。
何よりも信用問題にも繋がってきてしまいます。

初期導入時に出来る限りの対策を行いましょう。
(※サーバによっては、設定不可な内容もあります。)

 

設定ファイル篇(wp-config.php)
———————————————————————-
◆インストール時にプレフィックスを変更する。

◆認証用ユニークキーを変更する。
初期値のユニークキーは、既に周知のものなので、
下記サイトで生成された複雑なハッシュ文字に置き換えることで、総当たり攻撃から保護します。
https://api.wordpress.org/secret-key/1.1/salt/

◆SSLが使用出来る環境であれば、管理画面をSSL化しましょう。

 ◆設定ファイルのパーミッションを400に変更する。
共有レンタルサーバで、グループの呼出(644等)がある場合、
中身を閲覧され、DB情報が漏れてしまう可能性があります。

 

インストール篇
———————————————————————-
◆インストール時にデフォルトのadminは使わない。
ハッキング時には、基本デフォルト値から攻撃されてしまいますので、
そのままにしているとパスワードのみでログイン出来てしまうことになってしまいます。
ユーザー名も推察されにくいものに変更しましょう。

◆install.phpの削除
インストール完了後は、不要なファイルの為、削除する。

◆HTTPヘッダーにPHPのバージョンを出力しない。
PHPバージョンに対する脆弱性への攻撃を減らす。
php.iniに下記を追加する。

 

.htaccess篇
———————————————————————-
◆wp-config.phpファイルの保護

◆シンボリックリンク設定
所有ユーザIDと違うユーザーが、リンクをたどれなくする
「FollowSymLinks」を無効化し「SymLinksIfOwnerMatch」を代替えとします。

 

テーマ篇(functions.php)
———————————————————————-
◆ログイン画面の隠匿
管理画面のアドレス中に特定文字がない場合に、ログイン画面を表示させず、ホームへリダイレクトさせる。

ログインNG  http://hogehoge.com/wp-admin/
ログインOK  http://hogehoge.com/wp-admin/?dummy

◆wordpressのバージョン情報を出力しない。

 

運用篇
———————————————————————-
◆パスワードを定期的に変更する。

◆常に最新バージョンへアップデートする。

 

この他にも様々な対策がございますので、詳細については、お問い合わせください。

 

愛媛県松山市でWeb開発一筋15年、700サイト以上の構築実績!

Webサイト制作・システム開発・スマホアプリ開発・組込ソフトウェア開発ならアイムービックにお任せ下さい。