アカスブログ

元ゲーム会社社員が業界やIT系を中心に人生経験から得たスキルや知識を発信するブログ

  • ホーム
  • お問合せ
  • プライバシーポリシー
  • メニュー

  • サイドバー

  • 前へ

  • 次へ

  • 検索

  • Twitter
  • YouTube
  •   RSS 
  •   Feedly 
  1. ホーム>
  2. 実用

WordPressのセキュリティ対策について

2019年5月31日

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
  • Copy
セキュリティ鍵マーク

このアカスブログはWordPressというブログシステムを利用しています。

しかしWordPressは有名なブログシステムのため常に外(主に海外)から不正なアクセスがあります。

WordPressを導入したシステムに必要最低限なセキュリティ対策を書いていこうと思います。

目次

  • 1 WordPressへの対策
    • 1.1 WEBサーバのアクセス制限
      • 1.1.1 wp-login.php
      • 1.1.2 wp-config.php
      • 1.1.3 xmlrpc.php
      • 1.1.4 wp-adminディレクトリ以下
    • 1.2 WordPressの更新
  • 2 サーバOSへの対策
    • 2.1 ポートへのアクセス制限
    • 2.2 システムの更新
  • 3 まとめ
    • 3.1 おすすめ記事

WordPressへの対策

ノートパソコンで作業

WEBサーバのアクセス制限

wp-login.php

ブログシステムにログインする際にアクセスされるファイルです。

このファイルへのアクセスはIPアドレスなどでアクセス制限をかけておいた方がいいでしょう。

もしくは『WPS Hide Login』などのプラグインを導入してログインページのURLをランダムなものに変更して分かりにくくしておきましょう。

Nginxで制限をかける場合はlocationの評価順位と

location ~ \.php$ {
  ...
}

などのphpスクリプト起動用のlocation設定の評価順位を考慮して下さい。

場合によってはアクセス制限用location設定の中に、追加でphpスクリプト起動用の設定が必要になるかもしれません。

# location = での評価なのでマッチしたら他は評価されない
location = /wp-login.php {
  allow xxx.xxx.xxx.xxx;
  deny all;
  fastcgi_pass unix:/var/run/php-fpm/www.sock;
  fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
  include fastcgi_params;
}

# 評価順位的にwp-login.php以外はこっちが評価されるはず
location ~ \.php$ {
  fastcgi_pass unix:/var/run/php-fpm/www.sock;
  fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
  include fastcgi_params;
}

wp-config.php

WordPressの設定ファイルです。

通常直接アクセスされて実行されても問題は起こりませんが、設定ミスなどでphpスクリプトが実行されない場合、中身がそのまま表示されてしまいます。

いずれにしても直接外部からアクセスできてしまうのは好ましくないのでアクセスは禁止しておきましょう。

以下はNginxの例です。

  location = /wp-config.php {
    deny all;
  }

xmlrpc.php

WordPressの記事を外部ツールなどを使用して投稿する時に必要となるファイルです。

wp-login.phpと同じように頻繁に不正アタックを受けますので、必要ないのであればアクセスを禁止しておきましょう。

xmlrpc機能を使用している方はIPなどでアクセス制限をかけておくのが望ましいと思います。

色々な場所からツールで記事を投稿しているのでxmlrpc.phpファイルへのアクセスは必要でありIPでのアクセス制限が難しい方はセキュリティ的にかなり危険だと思います。

wp-adminディレクトリ以下

ブログのシステムにログインした後に使用されるファイル群です。

基本的にこのディレクトリ以下に対してはIPアドレスなどでアクセス制限をかけておいた方が良いと思います。

Nginxで制限をかける方はlocationの優先順位に気を付けて設定を行って下さい。

location ~ /wp-admin {
  allow xxx.xxx.xxx.xxx;
  deny all;
  location ~ \.php$ {
    fastcgi_pass unix:/var/run/php-fpm/www.sock;
    fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
    include fastcgi_params;
  }
}

WordPressの更新

脆弱性が発見されて対応されることがありますので、WordPress本体やプラグイン、テーマなどは常に更新しておくことをおすすめします。

脆弱性をそのままにしておくとWordPressを乗っ取られてしまう危険性が非常に高くなります。

サーバOSへの対策

シェルのコマンドライン

ポートへのアクセス制限

サーバで動いているサービスが使用しているポートへのアクセス制限をかけておきましょう。

ロードバランサーを通してWEBサーバへアクセスする構成になっているのであれば、WEBサーバへの通常アクセスはロードバランサーからのアクセスに制限するのが良いでしょう。

また、サーバへのSSHポートへのアクセスもIP制限するか、最低限ポート番号を変更しておきましょう。

クラウド上のサーバであればサーバのサービスごとにアクセス制限をかけなくても、インスタンスへの通信を制限する機能(AWSでいうとセキュリティグループの設定)がありますので、そちらでまとめてアクセス制限をかけるのが楽だと思います。

システムの更新

常にシステムは最新のものに更新しておきましょう。

ほとんどの方はパッケージ管理システムを用いて必要なサービスを導入していると思いますので、導入したパッケージに更新がないか定期的にチェックするのが良いと思います。

システム導入時のままシステムを放置することのないように気を付けましょう。

まとめ

セキュリティ鍵マーク

システムを乗っ取られてからでは遅いですので、セキュリティ対策は最初から意識しておきましょう。

また脆弱性対策のためシステムのメンテナンスは怠らないようにしましょう。

おすすめ記事

  • 7payに学ぶセキュリティを意識した設計の大切さ7payに学ぶセキュリティを意識した設計の大切さ
  • 【5000円~】WordPress開設作業や保守業務等のサーバ関連作業を代行致します【5000円~】WordPress開設作業や保守業務等のサーバ関連作業を代行致します
  • アカマイが不正ログイン攻撃に関する調査結果を公表アカマイが不正ログイン攻撃に関する調査結果を公表
  • WordPressおすすめのプラグイン9選WordPressおすすめのプラグイン9選
  • ネット系の大規模サービスでは通信量とレスポンスタイムがとても重要ネット系の大規模サービスでは通信量とレスポンスタイムがとても重要
  • WEBビジネス立ち上げはセミオーダー式パッケージシステムが最適WEBビジネス立ち上げはセミオーダー式パッケージシステムが最適
表示数: 329

実用Nginx,WPS Hide Login,サーバ,セキュリティ,ワードプレス,不正アクセス

Posted by ac-as.net


よろしければシェアお願いします

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
  • Copy
間違った道
社長に向かない人の4つの特徴
Next
横並びから一歩前に出ている人のシルエット
ゲーム業界に向いてる人の4つの特徴
Prev

関連記事

データセンター

STADIAは成功するのか?ネットワークエンジニアが考える

GoogleからSTADIAというゲームのストリーミングサービスが発表されました ...

ブロガー ブログ 執筆 パソコン ワードプレス

【5000円~】WordPress開設作業や保守業務等のサーバ関連作業を代行致します

※現在は新規依頼を受付けておりません。受付再開時期は未定です。 ブログを始めたい ...

シェルのコマンドライン

【Linux】小規模な環境のNTPサーバはchronyがおすすめ

chronyはNTPクライアント・サーバの機能を持っておりntpdの代替として活 ...

セキュリティ鍵マーク

7payに学ぶセキュリティを意識した設計の大切さ

7payの不正利用のニュースが世間で話題になっています。 7payの事件からセキ ...

シェルのコマンドライン

【Linux】Postfixへの不正なアクセスログを監視し自動的にiptablesで遮断する

Postfixを立ち上げていると結構な数の不正な接続が頻繁にログに記録されていま ...

このアカスブログは全てリンクフリーです。

無断リンクして頂いて全く問題ございません。(※転載は禁止)

相互リンク希望の方は「お問合せ」かTwitterのDMにご連絡ください。

人気の記事

  • Realtek製オーディオの最新ドライバを入手する方法(62,080)
  • 【Linux】環境変数の確認・設定・削除・永続化について(24,566)
  • 【Linux】カーネルパラメータのパフォーマンスチューニングについて(17,595)
  • ヨドバシドットコムに返品の問い合わせして返金してもらった話(13,366)
  • NICのオフロード設定の変更方法(Linux)(8,780)

最近の投稿

  • (動画付き)Cities: Skylines MODプログラミングの始め方をわかりやすく解説
  • FX自動売買プログラムは儲かるのか少額で実践。気になる利益いくら?
  • 光コラボを進めてくる迷惑な勧誘電話に注意!
  • ネット回線・通信スピード計測はGoogleのインターネット速度テストがおすすめ
  • GTA5のMOD『LeFix Speedometer』のcreation failedエラーによるクラッシュの対処法

カテゴリー

  • レポート (197)
  • 実用 (94)

アーカイブ

  • 2021年2月 (1)
  • 2020年10月 (1)
  • 2020年7月 (1)
  • 2020年3月 (1)
  • 2020年2月 (1)
  • 2020年1月 (2)
  • 2019年12月 (2)
  • 2019年11月 (23)
  • 2019年10月 (31)
  • 2019年9月 (30)
  • 2019年8月 (31)
  • 2019年7月 (31)
  • 2019年6月 (30)
  • 2019年5月 (31)
  • 2019年4月 (30)
  • 2019年3月 (21)
  • 2019年2月 (7)
  • 2019年1月 (13)
  • 2018年12月 (3)
  • 2018年11月 (1)

おすすめ記事

  • 7payに学ぶセキュリティを意識した設計の大切さ7payに学ぶセキュリティを意識した設計の大切さ
  • 【5000円~】WordPress開設作業や保守業務等のサーバ関連作業を代行致します【5000円~】WordPress開設作業や保守業務等のサーバ関連作業を代行致します
  • アカマイが不正ログイン攻撃に関する調査結果を公表アカマイが不正ログイン攻撃に関する調査結果を公表
  • WordPressおすすめのプラグイン9選WordPressおすすめのプラグイン9選
  • ネット系の大規模サービスでは通信量とレスポンスタイムがとても重要ネット系の大規模サービスでは通信量とレスポンスタイムがとても重要
  • WEBビジネス立ち上げはセミオーダー式パッケージシステムが最適WEBビジネス立ち上げはセミオーダー式パッケージシステムが最適

Copyright © 2018-2021 アカスブログ All Rights Reserved.

WordPress Luxeritas Theme is provided by "Thought is free".

PAGE TOP