ワードプレスでブログを制作されている皆さん、またはこれからワードプレスを始めてみようという方、セキュリティ対策はバッチリでしょうか?
ワードプレスは、全世界のウェブサイトの1/4に用いられるなど、大変人気のウェブサイト制作ツールです。その分、よからぬことを考える人間の標的になることも多くなります。いわゆるハッキング行為等です。
お恥ずかしい話ですが、だいぶ昔にタロログで運営していたとあるサイトも乗っ取りをされてしまったことがありました。小さなサイトだったのでそこまでダメージはなかったのですが、やはり気分のいいものではありません。
それ以降は真剣にセキュリティ対策に取り組むようになったので、しっかりと経験は生かされています。
今回は、このようなことになる前に、なってしまった方は二度と同じ目に遭わないためにも、初心者の方でも簡単にできるワードプレスのセキュリティ対策について解説します。
ワードプレスを最新版に更新する
ワードプレスだけではなくパソコンのソフトウェアやOSなどは、惰弱性が見つかるたびにそれの対抗処置を施した最新バージョンを公開します。
更新したことで逆に穴が生じることもありますが、基本的には最新バージョンが最も安全ということです。ワードプレスでも、常に最新バージョンを使用するようにしましょう。
ワードプレスで作業しているとき、以下の画面のように、「WordPres ◯.◯.◯ が利用可能です!今すぐ更新してください。」と表示されているのを見たことはありませんか?
この表示があるということは、ワードプレスの最新版がリリースされているということです。更新作業を行いましょう。
リンクをクリックすると、更新画面に移行します。「今すぐ更新」をクリックすると、ワードプレスのバージョンアップが始まりますが、ここで一旦確認しておきたい項目があります。
画面を下にスクロールすると、「プラグイン」と「テーマ」の項目があるはずです。次のような画面になっている場合、プラグインやテーマの最新バージョンも利用できます。ワードプレスと一緒に更新しておきましょう。
更新したいテーマやプラグインにチェックを入れて、「テーマを更新」「プラグインを更新」をクリックしてください。テーマやプラグインの更新を終えたら、ワードプレスの更新画面に戻り「今すぐ更新」をクリックしてワードプレス本体の更新を行ってください。
以下の画面が表示されたら更新完了です。
ログイン画面へのリンクを削除する
ワードプレスは、インストールしたそのままの状態だとサイドバーに「メタ情報」という項目が表示されています。
この「ログイン」項目は、ブログの管理画面へのリンクです。
パスワードで保護しているとはいえ、ログインページに誰でもアクセスできるようにしておくのはやはり危険です。訪問してくるユーザーにとっても必要のないリンクなので削除してしまいましょう。
削除方法は非常に簡単です。
管理画面左メニューから「外観」→「ウィジェット」をクリックします。ウィジェット設定画面の「ウィジェットエリア」から「メタ情報」を左にドラッグ&ドロップするだけです。
バージョン情報を削除する
ワードプレスで制作されたウェブサイトは、デフォルトの状態だとソース(サイトの設計図。ウェブブラウザーから誰でも簡単に見ることができる)の中に
というようなコードが存在します。これは、”このサイトはワードプレスの4.7.1バージョンで構成されている”という、使用しているワードプレスのバージョン情報の表示です。
ワードプレスのバージョン情報を知られてしまうことで、不正行為をする人間に対して情報を与えてしまいます。もし古いバージョンのワードプレスを使用していることがバレてしまえば、そこを突かれる可能性があるのです。
では、どのように対抗すれば良いのか?
簡単です。ソース上からバージョン情報を削除してしまえば良いのです。では、ソースからワードプレスバージョン情報を削除する方法を解説します。
今回はPHPファイルの編集をするので、事前に子テーマを作成しておきましょう。
※子テーマの作り方
管理画面の左メニューから「外観」→「テーマの編集」→「function.php」をクリックします。
この中の「<?php add_action( ‘wp_enqueue_scripts’, ‘theme_enqueue_styles’ );」から改行して、次の1文を追加してください。
以下のように入力できていればOKです。
「ファイルを更新」をクリックして、実際に表示がされてないかソースを開いて確認してみましょう。
これで、ソース上のバージョン情報の表示が消せたように思えます。しかし、まだ終わりではありません。まだソース上には、ワードプレスのバージョン情報がわかってしまう部分が残っています。
再度ソースを開いてみると、上のコードのような「ver=◯.◯.◯」というような文字列が複数確認できるはずです。続いては、これも表示させないようにしたいと思います。
再びfunctions.phpを開いてください。先ほど追加した「remove〜’);」の次の行に以下のコードを追加します。
if ( strpos( $src, ‘ver=’ ) )
$src = remove_query_arg( ‘ver’, $src );
return $src;
}
add_filter( ‘style_loader_src’, ‘remove_cssjs_ver2’, 9999 );
add_filter( ‘script_loader_src’, ‘remove_cssjs_ver2’, 9999 );
以下の画面のように入力できていれば問題ありません。「ファイルの更新」をクリックして実際のソースを確認してください。
これで、完全にバージョン情報がソース上から消え去りました。
ただ、この方法はあくまで古いバージョンのワードプレスを使用している場合に限った話です。やむを得ない理由がない限り、ワードプレスは最新バージョンにアップデートしておきましょう。
wp-config.phpへのアクセスを不可にする
「wp-config.php」はワードプレスの中でも最重要なファイルの一つで、外部から閲覧されたり変種されたりすると大変なことになります。
基本的にウェブブラウザー等で見ることはできないのですが、念のためにさらに対策を施しておきましょう。
方法は簡単です。まずはFTPクライアントソフトやエックスサーバーのファイルマネージャ機能で、サーバー内のwp-config.phpを探してください。とくに移動などさせていなければ「ドメイン名/public_html/」にあるはずです。
同じ階層に「.htaccess」というファイルはありませんか?あればファイルを開いて、一番上に以下のコードを追加してください。
order allow,deny
deny from all
</files>
無ければ新たに作りましょう。上のコードを記述して、ファイル名を「.htaccess」にしてwp-config.phpと同じ階層にアップロードしてください。これで完了です。
試しにwp-config.phpにアクセスしてみましょう。下の画面のように403エラーが表示されれば成功です。
バックアップを取る
万が一サイトが被害を受けたときは、サイトを元の状態に戻さなくてはなりません。しかしはじめから全ての作業をやるのは、サイトの規模にもよりますがはっきり言って不可能でしょう。
普段からバックアップを取っておけば、テーマやプラグインはもちろん、それまでの記事なども元の状態に復元することができます。
また、ハッキングなどの不正行為以外にもサイトが消失する可能性も無くは無いです。ブログのカスタマイズやワードプレスの更新時に、何かしらのバグが発生してサイトが正常に動作しなくなるということもあります。
そのようなときでも、バックアップを取っておけば被害を最小限に抑えることが可能です。
※バックアップの取り方と復元(リストア)方法はこちら
まとめ
いかがでしたでしょうか?
実はこのほかにもたくさんセキュリティ対策はあるのですが、初心者の方でも今すぐ簡単に行えるのが以上のような作業となっています。
「サイト乗っ取りとか、大きなサイトだけでしょ?」
と考えられている方、いらっしゃいましたら改めましょう。先述した通り、タロログで被害にあったサイトは検索順位も上位に入らないような小さなサイトでした。
いつ不正行為のターゲットになるかわかりません。そうなる前に必ずセキュリティ対策は行っておきましょう。タロログでは今後も、重要なセキュリティ対策をご紹介いたします。
※セキュリティ対策中級編も公開しました。
次はテーマを設定して、ブログのデザインを変更してみましょう。