WordPressは攻撃を受けやすいCMS
WordPressで制作されているサイトは攻撃を受けやすいです。
それは、WordPressがセキュリティに脆弱なCMSということではなく、世界中で最も利用されているCMSであることが原因です。
ハッカーとしては最も利用されているCMSをターゲットにする方が効率が良いですからね。
WordPressのセキュリティを強化するは「SiteGuard WP Plugin」
WordPressを適切に設定することでセキュリティ強度を高めることが可能です。
「SiteGuard WP Plugin」はWordPressのセキュリティ対策を行えるプラグインです。
SiteGuard WP Pluginの設定
| 管理ページアクセス制限 | WordPressへログインしていない場合に、管理ページへのアクセスを制限します。 ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。 24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。 |
|---|---|
| ログインページ変更 | 管理画面のログインページのURLを変更します。 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくなります。 |
| 画像認証 | 管理画面のログインページ、コメント投稿に画像認証を追加します。 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。 画像認証の文字は、ひらがなと英数字が選択できます。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 ユーザー名の存在を調査する攻撃を受けにくくなります。 |
| ログインロック | 管理画面へのログイン失敗を繰り返すと一定期間ロックします。 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。 特に、機械的な攻撃から防御するための機能です。 |
| ログインアラート | 管理画面へログインがあったことを、メールで通知します。 不正なログインに気づきやすくなります。 |
| フェールワンス | 正しいログイン情報を入力しても、ログインを一回失敗します。 5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。 リスト攻撃を受けにくくなります。 |
| XMLRPC防御 | Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。 XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。 支障がある場合には、本機能を使わないでください。 |
| ユーザー名漏えい防御 | ユーザー名の漏えいを防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 セキュリティの基本は、常に最新のバージョンを使用することです。 |
| WAFチューニングサポート | WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。 WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。 除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。 |
| 詳細設定 | IPアドレスの取得方法を設定します。 通常はリモートアドレスを選択してください。 Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。 レベルは、X-Forwarded-Forの値の右端から何番目かを表します。 |
| ログイン履歴 | ログインの履歴が参照できます。 怪しい履歴がないか確認しましょう。 履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。 |
投稿者プロフィール
- EC-CUBE、WordPressをメインに担当しています。
最近、Movable Typeの案件が増えてきたので、MTを勉強中です。
ネイビー色が好きでnavyという名前をよく使うけど、navy=海軍好きで時々勘違いされて困っています。
確かに軍モノ古着は好きですが。。。
最新の投稿
ECサイト構築・運営2023.03.14BOOTH宛名印刷用CSVを元に納品書を発行する
ECサイト構築・運営2023.03.07フューチャーショップでカート一体型LPを制作する
WEB制作・集客2023.02.08iPhoneで公開前のサイトを公開URLでチェックする方法
WEB制作・集客2023.02.07hosts設定をすれば、サイトを公開前にチェックできる
