WordPressを使ったサイトでのセキュリティ対策について調べてみました
サイトが乗っ取られたり、サイトが改ざんされたり、サーバーが乗っ取られたりという被害は、たいていの場合は大してセキュリティ対策していないことによって起こります
これでもう安心というものにはならないとは思いますが、最低限の対策は取っておかないとなりません
WordPress サーバーで行うセキュリティ対策
まず、サーバーで行うセキュリティ対策があります
サーバーのIDとパスワードを漏らさないように類推されない強固なパスワードにするとか、サーバーに接続するパソコンのウィルス対策は行っておかないとならないですが、さらにサーバーの設定で行えるものがあります
サーバーやWordPressに対する攻撃が、主に海外から行われることから、海外からのアクセス制限を行うことが主要な対策になっています
そして、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止、FTPによる不正アクセス防止、WAF設定などがあります
主な対策は
・海外からの不正アクセス防止
・パスワード総当り(ブルートフォースアタック)不正アクセス防止
・FTP不正アクセス防止
・WAF設定
ですね
ロリポップ!サーバー 設定で行うセキュリティ対策
ロリポップ!
サーバー
ロリポップ!サーバーのサーバー設定で行うセキュリティ対策は、海外アタックガード、FTPアクセス制限、WAF設定があります
海外アタックガードは、WordPressのダッシュボード、コメント、外部記事投稿(XML-RPC APIアクセス)への海外のIPからのからのアクセスを制限するもので、初期値は有効になっています
クローラーのアクセスは制限の対象外ですし、通常のサイト閲覧は海外からでも可能です
FTPアクセス制限では、サーバーとのファイルの送受信を行うFTPアクセスを特定のIPからのみに制限することができます
自宅のIP以外からはFTPアクセスできないようにするなど設定しておきます
WAF設定はウェブアプリケーションのやり取りでの不正侵入を防ぐ設定で、初期値は有効になっています
Xサーバー 設定で行うセキュリティ対策
Xアーバーも同様で、まずは国外IPアクセス制限です
WordPressのダッシュボードへのアクセス制限、XML-RPC APIへのアクセス制限、 REST APIへのアクセス制限が設定でき、初期値はそれぞれONになっています
また、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止として、ログイン試行回数制限があり、初期値はONです
ロリポップ!では、サーバーの設定画面には、ログイン試行回数制限の設定がないのですが、WordPressを簡単インストールすると、最初からSiteGuard WP Pluginがインストールされています
SiteGuard WP Pluginに、ログイン失敗を繰り返す接続元を一定期間ロックするログインロック設定やログインアラート設定などがありますので、同様の設定はできます
そして、コメント・トラックバック制限として、大量コメント・トラックバック制限、国外IPからのコメント・トラックバック制限があります
コメント・トラックバック制限はスパム対策だと思いますが、初期値はOFFになっています
昔はスパムがよくありましたが、最近はあまりないのですかね?
ロリポップ!では、Akismet Anti-Spam (アンチスパム)プラグインが初期インストールされていますから、すぐ有効化して使用しています
XサーバーもFTPアクセス制限設定、WAF設定が可能ですが、WAF設定が初期値がOFFですね
サーバーで設定を行うセキュリティ対策では物足りないので、WordPressプラグインでのセキュリティ対策などは後ほど追加します
ロリポップ!サーバー、エックスサーバーなどのレンタルサーバーについてはこちらです
