WordPressのセキュリティ対策について

2019年5月31日

このアカスブログはWordPressというブログシステムを利用しています。

しかしWordPressは有名なブログシステムのため常に外（主に海外）から不正なアクセスがあります。

WordPressを導入したシステムに必要最低限なセキュリティ対策を書いていこうと思います。

1. WordPressへの対策
- 1.1. WEBサーバのアクセス制限
- 1.2. WordPressの更新
2. サーバOSへの対策
- 2.1. ポートへのアクセス制限
- 2.2. システムの更新
3. まとめ

WordPressへの対策

WEBサーバのアクセス制限

wp-login.php

ブログシステムにログインする際にアクセスされるファイルです。

このファイルへのアクセスはIPアドレスなどでアクセス制限をかけておいた方がいいでしょう。

もしくは『WPS Hide Login』などのプラグインを導入してログインページのURLをランダムなものに変更して分かりにくくしておきましょう。

Nginxで制限をかける場合はlocationの評価順位と

location ~ \.php$ {
  ...
}

などのphpスクリプト起動用のlocation設定の評価順位を考慮して下さい。

場合によってはアクセス制限用location設定の中に、追加でphpスクリプト起動用の設定が必要になるかもしれません。

# location = での評価なのでマッチしたら他は評価されない
location = /wp-login.php {
  allow xxx.xxx.xxx.xxx;
  deny all;
  fastcgi_pass unix:/var/run/php-fpm/www.sock;
  fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
  include fastcgi_params;
}

# 評価順位的にwp-login.php以外はこっちが評価されるはず
location ~ \.php$ {
  fastcgi_pass unix:/var/run/php-fpm/www.sock;
  fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
  include fastcgi_params;
}

wp-config.php

WordPressの設定ファイルです。

通常直接アクセスされて実行されても問題は起こりませんが、設定ミスなどでphpスクリプトが実行されない場合、中身がそのまま表示されてしまいます。

いずれにしても直接外部からアクセスできてしまうのは好ましくないのでアクセスは禁止しておきましょう。

以下はNginxの例です。

  location = /wp-config.php {
    deny all;
  }

xmlrpc.php

WordPressの記事を外部ツールなどを使用して投稿する時に必要となるファイルです。

wp-login.phpと同じように頻繁に不正アタックを受けますので、必要ないのであればアクセスを禁止しておきましょう。

xmlrpc機能を使用している方はIPなどでアクセス制限をかけておくのが望ましいと思います。

色々な場所からツールで記事を投稿しているのでxmlrpc.phpファイルへのアクセスは必要でありIPでのアクセス制限が難しい方はセキュリティ的にかなり危険だと思います。

wp-adminディレクトリ以下

ブログのシステムにログインした後に使用されるファイル群です。

基本的にこのディレクトリ以下に対してはIPアドレスなどでアクセス制限をかけておいた方が良いと思います。

Nginxで制限をかける方はlocationの優先順位に気を付けて設定を行って下さい。

location ~ /wp-admin {
  allow xxx.xxx.xxx.xxx;
  deny all;
  location ~ \.php$ {
    fastcgi_pass unix:/var/run/php-fpm/www.sock;
    fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
    include fastcgi_params;
  }
}