WordPressのセキュリティ対策はどうすればよいのか?
WordPressのセキュリティをどうしたらよいのか、そんな悩みを過去の経験を基にいくつか超簡単にご紹介させていただきます。
どうしてこのような記事の背景になったかというと、生成AIの影響なのか、他のCMSが減ってきた、WordPressの世界シェアが増加した等の影響で、従来セキュリティの考え方ではWordPressの改ざんや乗っ取りが発生してしまうからです。
例えば従来の考え方として「海外からのアクセスをブロックすればOK」とありますが、「VPN」や「クラウドPC」を利用して攻撃してくるので効果がありません。
自分以外は信じられないそんな気持ちでセキュリティ対策を行うとよいかと思います。
ただ、セキュリティは完璧なものはありません。日々進化していきますのでその点は対策を行っていくようにしてください。
1.WordPress及びプラグインのバージョンを上げましょう
古いバージョンにはバグや脆弱性があるので最新状態にしましょう
2.バックアップを14日以上取得する
多くの改ざん~本人の気づくまでにタイムラグがあるので2週間分は取っておきましょう
3.htaccessでwp-config.phpやwp-cron.php、xmlrpc.phpへのアクセスをブロック
既存のhtaccessに以下の内容を追加してアクセスをブロックします。
単純に「https://xxx.xxxx.xxx/xmlrpc.php」で403になればOKです。
<FilesMatch "^(wp-config\.php|wp-cron\.php|xmlrpc\.php)">
order deny,allow
deny from all
4.プラグインで強化する
「SiteGuard WP Plugin」を利用するのが手軽ですね。
5.管理者用のユーザーのパスワードの強化、2段階認証を行う
人間が覚えれるパスワードなんて簡単なんです。もっともっと複雑にしましょう
まだこれ以外にも多数の方法がありますが簡単にご参考までにとなります。
お問合せ