WordPressの安全な運用方法を教えてください。
- 更新日: 2023-04-03 15:41:24 UTC
改ざんが行われてしまった場合、
- サイトの中身が書き換えられてしまう
- スパムメール送信の踏み台にされてしまう
- 意図していない悪意あるページへの自動遷移を設置されてしまう
- セキュリティソフトが反応し、このサイトは危険、というアラートを出されてしまう
といった問題が発生するケースがあります。
なお万が一改ざんが生じた場合、新しいCMSアカウントを新規に発行(※有料)し、
インストールのところからWordPressを再度構築していただきます。
その際、バックアップファイルがデータ改ざん済みである可能性があるため、
バックアップファイルを丸ごとインポートすることはできません。
改ざんが行われた場合、お客様にご迷惑をお掛けするだけでなく、
復旧のためにアカウント新規発行費用と時間も要してしまいます。
改ざんされる前に、事前にセキュリティ強化対策を実施してください。
対策方法
改ざん防止対策:その1 <重要>パーミッションの設定について改ざん防止対策:その2 プラグイン・テーマについて
改ざん防止対策:その3 最新バージョンの利用について
改ざん防止対策:その4 パスワードについて
改ざん防止対策:その1 パーミッションの設定について
WordPress内のファイル・フォルダのパーミッション設定を変更することで、
外部からのファイル書き換えが行えない状態にします。
パーミッションの値を確認し、外部からファイルを書き換えられない設定に変更してください。
パーミッションの変更方法と、設定値に関して
各FTPソフトにて、該当ファイル上で右クリックをすると、
属性変更(パーミッション変更)のメニューが表示されます。
(※下記は「FFFTP」の場合)
| wp-config.phpのパーミッションは「400」に設定してください。 |
編集を行う際は一旦「644」に変更し、編集後に「400」に設定を戻してください。
その他のフォルダ、ファイルに関しては、下記のパーミッション値で設定していただくことを推奨しています。
| .htaccess | 604 |
|---|---|
| CGIの実行ファイル | 700 |
| CGIのデータファイル | 600 |
| PHPファイル (wp-config.phpは上記を参照) | 600 |
| HTML・画像ファイル | 604 |
| フォルダ | 705 |
※パーミッションの設定が「777」「666」となっている場合、「書き込み可能」という設定になっています。
書き込み可能設定は改ざんされる可能性が高い状態となりますので、必ず変更してください。
改ざん防止対策:その2 プラグイン・テーマについて
WordPressで利用されているテーマやプラグインの脆弱性をついて、
サイト改ざんが行われるケースがあります。
テーマ・プラグイン利用の際は、下記の点にご注意ください。
・WordPress公式のテーマ・プラグインを利用してください。
公式ではないプラグイン・テーマは、
悪質なプログラムを埋め込まれている可能性があり、
気付かないうちに改ざんされる危険性があります。
・利用していないテーマ・プラグインは「削除」してください。
「停止」しているだけでは脆弱性をついた攻撃を受ける可能性があります。
・更新が止まっているプラグインは脆弱性を確認してください。
更新が無い場合、脆弱性をついた攻撃を受けるリスクが高まっている可能性があります。
改ざん防止対策:その3 最新バージョンの利用について
WordPressに限らず、CMSをご利用の場合は「最新のバージョン」を利用してください。
新バージョンがリリースされている場合、悪質な攻撃を防ぐためのセキュリティ対策が
施されている場合があり、バージョンアップすることでセキュリティを強化することができます。
WordPressの場合、新しいバージョンがリリースされた際に、
管理画面上部に「更新してください」と表示されます。
※プラグインも同様にバージョンアップが必要となりますが、
利用しているプラグインが新バージョンに対応していない場合もあります。
事前にプラグインの動作環境もご確認の上、バージョンアップを実施してください。
改ざん防止対策:その4 パスワードについて
パスワードが推測しやすい文字列であるために攻撃者にパスワードが漏洩し、
サイト改ざんが発生するケースがあります。
推測が難しいパスワードにし、定期的な変更を行ってください。
注意するべき推測されやすいパスワードの条件
・IDとパスワードが同一
・パスワードの文字数が6文字以下であるなど少ない
・推測しやすい辞書にのっている単語
・パスワードが数字または英字のみの場合