WordPressの管理領域を守る10の方法

WordPressは世界的にメジャーなOSSのブログシステムです。それ故、クラッカーから狙われ易いのも事実。そこでWordPressの管理領域を守る10の方法をSmashing Magazineの記事から紹介します。全て適用する必要はありませんが、可能なものから随時行っていくのがいいでしょう。

10 Steps To Protect The Admin Area In WordPress (Smashing Magazine)

  1. WordPressフォルダをリネームしてからアップロード
    WordPress 2.6から、wp-contentフォルダをリネームして運用することが可能になりました。しかし、肝心のwp-adminフォルダは、この変更に未対応です。そこで、WordPressフォルダを適当な名前に変更しておき、管理アドレスを推測しにくいものに変更しましょう。管理画面の[一般設定]-[WordPress のアドレス (URL)]に実アドレス、[ブログのアドレス (URL)]に運用で使いたい仮想アドレスも設定してください。
  2. wp-config.phpの拡張機能を最大限に利用する
    • WordPress 2.7から導入されたセキュリティキーを追加する
      キーの作成はsecret-keyジェネレータから。ジェネレータは稀にバージョンが上がってキーの数が増えるときがあります。
    • テーブルプレフィックスを"wp_"以外のものに変更する
      DBを直にアタックされたときに別名であればクラックされ難くなります
    • SSLが使用可能なら積極的に使う
      wp-config.php file: define(’FORCE_SSL_ADMIN’, true);
  3. wp-config.phpの移動
    WordPress 2.6から、wp-config.phpをひとつ上の階層に移動させても動作します。上位階層がブラウザからアクセス出来ない領域である場合に効果的です。
  4. wp-config.phpファイルを守る
    全てのプロバイダがブラウザからアクセス不可能な領域を用意しているとは限りません。もし、.htaccessが使えるならブラウザからwp-config.phpにアクセス出来ないように制限をかけましょう。

    # wpconfig.phpの防御
    <files wp-config.php>
    Order deny,allow
    deny from all
    </files>
  5. adminユーザアカウントの削除
    WordPressは初回インストール時に自動的にデフォルトユーザとしてadminアカウントを作成します。この名前は容易に想像がつくため攻撃の的にされます。次の手順でadminアカウントを削除しましょう。

    1. 管理画面にてadmin権限のある別のアカウントを作成する
    2. 管理画面からログアウト
    3. 新規作成したアカウントで管理画面にログイン
    4. アカウントリストからadminを削除
  6. 強固なパスワードにする
    管理領域を守る一番の方法は、アカウントのパスワードを強固にすることです。大文字小文字、数字、記号を織り交ぜた、十分に長いフレーズにしましょう。
  7. wp-adminフォルダを守る
    管理領域へのログインにはパスワードが必要とは言え、フォルダの深層に自由にアクセスできる状態では不安です。.htaccessと.htpasswdを使ってwp-adminフォルダにベーシック認証をかけましょう。
  8. ログインページのエラー表示を抑制
    WordPressは、ログインエラーのときにユーザ名が間違っていれば、ユーザ名が違うと教えてくれます。同様にパスワードが間違っていれば、パスワードが違うと正直に答えます。これは管理者には便利ですが、悪意のアタッカーにはクラックのためのヒントを教えているようなもの。このエラー表示を黙らせましょう。お使いのテーマのfunctions.phpに以下のコードを追記。

    add_filter('login_errors',create_function('$a', "return null;"));
  9. ログイン再試行回数を制限する
    WordPressはログインエラーを記録してくれません。そのため、誰かがログインアタックを仕掛けていてもサーバのログを見ない限りは気づき難いです。Login LockDownLimit Login Attemptsといったプラグインを使用して、ログイン試行回数を厳しく制限しましょう。
  10. 最新版の維持
    WordPressは絶えずセキュリティアップデートをしています。現在のバージョンに満足しているからと言って、アップデートを怠ってはいけません。プラグインも同様です。ただし、急いでアップデートするとバグに見舞われることもあるので、更新内容を十分に確認して下さい。また、使わないプラグインの放置はセキュリティリスクが高まるため、早めに削除しておきましょう。