WordPressのハッキングやクラッキング被害は後を絶たないようですね。明日は我が身と考えて、Wordpress Codex日本語版で公式アナウンスされている堅牢なWordpressを維持する方法を、私のブログ運営環境に当てはめてまとめてみます。
ハッキングされない堅牢なWordpress
最近、以前お世話になっていたMovableTypeのテンプレート販売サイトが、マルウェアに感染して一時閉鎖になっていました。テーマを販売しているサイトでさえ改ざんされているのであれば、勉強不足な私のいブログはその可能性がかなりあるのではないでしょうか。かなりの危機感を感じていいます。
そこで、Wordpress Codex日本語版で公式アナウンスされている堅牢で強固なWordpressを構築、維持する方法を我がブログ運営の環境に適用させるために、以下のようにまとめてみました。Hardening WordPress – WordPress Codex 日本語版
(すでにハッキングされているならFAQ/ハッキング・クラッキング被害 – WordPress Codex 日本語版へ。)
大切なポイントは以下の3つのようです。
- アクセスの制限・・・潜在的な入り口をできるだけ減らし、不用意なアクセスさせない。
- 抑制・・・セキュリティーホールを発見されても、被害を最小限にするシステム構築
- 定期的なメンテナンス・・・定期的なバックアップと、WordPressやプラグインの更新情報を得、変更点をメモしておく。
ローカルPCのセキュリティー対策
サイトハッキングのかなりの部分は、ローカルPCがウィルスに感染して、サーバーに接続する情報(FTPなど)が、漏れ出すことにあるようです。ですから、サーバに接続するPCには絶対に定評のある総合セキュリティー対策ソフト(ノートン、ウイルスバスター、マカフィーなど)をインストールして常に自動更新しておき、定期的にスキャンしておく必要がありますね。それに、フィルタリングレベルを高めにしておく必要がありそうです。
もちろん、自ら怪しいサイトに行ったり、怪しいファイルをダウンロードしたり、メールの添付ファイルをスキャンせずに開いたり絶対にしないことでしょう。あたりまえですが。
WordPressの更新
- 常に進化するWordPressとプラグインを更新する
- 頻繁に更新されないプラグインは外す
- 使っていないプラグインは削除する
- 頻繁に更新されないテーマは利用しない。 WordPressテーマ選びの最大のポイント
- 無料のテーマやプラグインはWordpress.comから直接ダウンロードできるもの以外は絶対に避ける。
サーバーの脆弱性
これは共有レンタルサーバーなら、手が出にくい対策方法ですね。信頼のおける日本のレンタルサーバーを見つける必要があります。たとえば、エックスサーバーは自動インストール対象ソフトのお知らせとして、頻繁に更新されたWordpressのバージョンを紹介していますので、かなり優良サーバですね。
このブログの場合は、サクラのPVSですから、堅牢なサーバ構築手段をとる必要があります。これはかなり奥が深いですね。私は、WordPress 高速化&スマート運用必携ガイドで構築しました。
ネットワークの脆弱性
これはうっかりミスをしてしまうかも。ネットカフェや見知らぬwi-fiを利用して、暗号化せずサーバに接続してしまって、接続情報が漏えいしてしまうかもしれません。家庭のブロードバンド接続でも、ルータのファイアーフォール安全性を常にチェックしておく必要がありそうです。
パスワード
パスワードは基本中の基本ですね。安全なパスワードを作って、漏れないように。
ファイルパーミッション
ファイルパーミッションを可能な限り制限して、書き込み権限が必要な時のみ制限を緩くする、あるいは画像アップロード等の目的のために制限の緩い特別のフォルダを作成することです。
とありました。そして、その一つの例として以下が挙げられいます。
すべてのファイルの所有者はあなたのユーザーアカウントで、あなたのみ書き込み可能。WordPress が書き込み権限を必要とするファイルは、ウェブサーバーで使用するユーザーアカウントのグループ所有。
特に「共有サーバーの場合は、wp-config.php のパーミッションを 750 にすべき」とあります。
データベースのセキュリティ
同じ共有サーバで複数のブログを運営している場合、データベースは別々に!
wp-admin を安全にする
フォルダ/wp-admin/ にパスワードを追加して、2重の保護を。(これもよく分からん。)
wp-config.php を安全にする
wp-config.php をWordPressのインストールフォルダの上に。自分とウェブサーバーだけしか、閲覧できないようにする (パーミッション400または440へ) 。
SSL 暗号化セキュリティ
これもプラグインでできそう。
プラグイン
- セキュリティプラグイン・・・WP Security Scan からダウンロード可能
- ファイアウォールプラグイン・・・・怪しい要求を排除するプラグインBlogSecurity’s WPIDS plugin やWordPress Firewallを。
- 書き込み権限を必要とするプラグイン・・・コードを読んで合法であることを確認するか、信頼できる人にチェックしてもらう。チェックする場所は、サポートフォーラムと IRC チャンネルを利用する。
- コードを実行するプラグイン・・・これは注意しないと被害が甚大になりそう。
データバックアップ
これは常識。phpMyAdminを利用したり、自動でデータベースをバックアップするプラグインも導入。
モニタリング
以上がWordpressを堅牢にするための対策ですが、あまりに多岐にわたるので、できていない部分は勉強しながら実行していきたいと思います。
コメント