WordPressは、非常に便利なツールですが、悪意を持った攻撃も非常に多いので、今更ながらですがもう一度セキュリティ対策を見直したいと思います。
また、セキュリティ対策は1つで完了というわけではなく、1つ目、2つ目の多段にかけないと今の時代の攻撃は防ぎぎれないのが実情です。
目次
サーバー側の対策
・WAFの有効化
→それぞれのレンタルサーバー会社が提供しています。
エックスサーバー
https://www.xserver.ne.jp/manual/man_server_waf.php
さくらインターネット
https://www.sakura.ne.jp/function/waf/
ロリポップ
https://lolipop.jp/manual/user/waf-set/
などの参照。WAFはいくつかの機能がありますが、プラグインによってはすべてを有効化できない場合がありますので利用環境に合わせて確認が必要です。
個人的には、SiteGuardを利用しているところが細かく調整が可能なので便利です。
・そのほかのセキュリティ
ざっくりとくくっていますが、サーバー会社によって用意されている内容がことなるのでそちらを参照してください。
例えばエックスサーバーの場合は、
・ダッシュボードアクセス制限
・XML-RPC APIアクセス制限
・REST API アクセス制限
・ログイン試行回数制限設定
https://www.xserver.ne.jp/manual/man_server_wpsecurity.php
があります。
ログイン試行回数制限設定は、利用者からログインできないってクレームが多いので有効化は悩みどころです。
WordPress側の対策
※DB接頭詞、wp-configの件は触れません。
・わかりやすいユーザー名を作らない。
例:admin、administrator,1234567..
・簡単なパスワードにしない
例:password,test,sample…
・不要なプラグイン、テーマは削除する
・XML-RPCを無効化する
スマートフォンやアプリから記事更新をしない場合には無効化をしましょう。
サーバー側でできる場合はサーバー側でブロックがベストです。
・REST APIを無効化する
・Akismetでスパムコメント対策を行う
コメントを受け付けてなければ導入しなくてもよいような。いちちwordpress.comアカウントが必要なので面倒です。
対策方法としては
サーバー側対策 ≫ WordPress側対策
上記の感じでで設定したほうがWordPress自体に負荷をかけることが少なくなるので、他の閲覧者に影響が少ないです。
WordPressのログをみていると「XML-RPC」でログインアタックしてくるのが多いです。
目に見えているログインフォームのセキュリティ強化もありますが、システム的な攻撃をブロックにも注意しましょう!!
現在は、海外からの攻撃が多いので、特に問題がなければ国内限定にするもの一つの手です。