WordPressセキュリティ対策強化オプションの詳細
WordPressサイトは常にハッカーの標的にされ、脅威に晒されていることをご存じですか?
デフォルトの状態ではセキュリティに対して脆弱です。
ここでは、弊社が提供する「Wordpressのセキュリティ対策強化オプション」について詳しく説明いたします。
WordPressサイトに対する対策
ファイルパーミッション(権限)の適切な設定 | インストールした状態だと主要ファイルのパーミッション設定が甘いので強化します。 |
---|---|
不要なプラグインを削除する | プラグインには脆弱性が見られ、バックドア(不正アクセスの入口)があるものもあります。 不要なプラグインは極力削除し、不正アクセスを遮断します。 |
不要なテーマを削除する | プラグイン同様、不要なテーマは削除します。 |
ユーザーIDとパスワードのセキュリティ強化 | パスワードだけでなくユーザーIDのセキュリティも強化します。 |
ユーザーIDを隠す | ユーザーIDは外部から丸見えです。セキュリティ強化はパスワードだけでなくIDも対策が必要です。 |
自動アップデートの設定 | WordPress本体、テーマ、プラグインは常に最新に保つことが最低限のセキュリティ対策です。これらはアップデート漏れがないように自動化します。 |
重要なファイルへの外部アクセス禁止 | 外部から直接アクセスされると問題が発生するファイルへのアクセスを制限します。(xmlrpc.php等) |
サーバーで行う対策
WAF(Web Application Firewall)の設定 | 不正アクセス防止はサーバー側でも行います。 |
---|---|
コントロールパネルへのログイン2段階認証設定 | コントロールパネルへ不正ログインされれば、全てが終わりです。2段階認証の設定ができるサーバーでは設定します。 |
日々の運用への対策
不正改ざん検知 (Wordpress本体、テーマ、プラグイン) |
不正改ざんを検知した場合、登録したメールアドレスに速報メールを自動送信します。不正改ざんの例 |
---|---|
不正ログイン試行検知 | 不正ログイン試行を検知した時点で速報メールを自動送信します。 |
ログイン成功検知 | ログイン成功で速報メールを送信します。これはID/PASSが漏洩して、不正にログインされたことを検知するためです。 |
自動バックアップ | WordPress本体、データ、テーマ、プラグイン全て自動でバックアップします。 |
自動バックアップのモニタリング | 自動バックアップが成功しているか定期的に確認します。 |
※上記Wordpressのセキュリティ対策オプションは、弊社レンタルサーバーご契約のお客様は無料です。