ワードプレスのセキュリティー対策まとめ

アップデートの後もなぜか『更新あり』の表示が消えません！

どうしてだろう？と思っていたら、『WordPressの更新』ページの一番下に翻訳という項目に『一部の翻訳が古くなっています』と更新ボタンがあった！

または更新画面に｢新しい翻訳が利用可能です｣という表示が出るケースもあります。

ボタンを押すとWordPress (ja)とTwenty Fifteen (ja) の翻訳が更新されて表示も消えた！

見逃しやすいので確認してみてください。

WPサイトは利用者が多いため、狙われやすい。

だからアップデートするたびにセキュリティー強化されるのは手持ちサイト（100以上）のほとんどをワードプレスにしている私にとっては嬉しい！

自動更新もきちんと機能すれば救世主です！プラグインも自動ならいいのですが・・

セキュリティー対策で一番重宝しているレンタルサーバーはXサーバーです！WP利用者は絶対に外せないサーバーですね。

さらにXサーバーはphp7もリリース！試してみたら、サクサク動いてパフォーマンスアップ！
もうロリポップとかは使えません・・・

私がやっているワードプレスのセキュリティー対策を紹介。

基本的に最重要ファイル wp-config.php・wp-login.php・wp-admin・wp-content・wp-includesのアクセス制限をします。

順を追って説明します。

PS:WordPress主要ディレクトリ①/wp-content、②/wp-admin、③/wp-includesが不正侵入されてブランド通販サイト（バッグ、洋服、財布等）のウェブスパムに悪用されているケースが増えています！アクセスすると詐欺サイトへ誘導される！
私はwp-adminだけでなく、wp-content、includesもしっかりセキュリティー対策していたので安心です（下記の対策を参考に！）！

まずはwp-login.php。

.htaccessファイルに以下の記述を追加。

# protect wp-login.php
<files wp-login.php>
order deny,allow
deny from all
allow from XXX.XX.（あなたのIPアドレス）
</files>

私の場合、新しいWPサイトをアップしたら、まず最初にwp-config.phpのパーミッション変更（サーバー環境により404、または400）は必ずやっていました。

さらに以下の記述を.htaccessファイルに追加する。

パーミッションだけでなく、『deny from all』を使ってwp-config.php自体に自分も含め誰も外部からアクセスできないようにすればいいのです。

# protect wp-config.php
<files wp-config.php>
order deny,allow
deny from all
</files>

wp-adminファイルにもアクセス制限しています。

wp-adminに.htaccessファイル（コピーしたもの）を新たにアップロード。

以下の記述を追加。

order deny,allow
deny from all
allow from あなたのIPアドレス

私は万全を期するためにwp-adminだけでなく、wp-content（テーマ【テンプレート】、プラグインが入っているファイル）、wp-includesにも.htaccessファイルを新たにアップロードしてアクセス制限しています。

基本的にwp-content、wp-includesファイルはcss|jpeg|jpg|png|gif|js|ico等のアクセスだけを許可する設定にしてます。

これで余計なアクセスはブロックされるので、安心！参考まで！

6月20日、久しぶりにサーバーのアクセスログをみると、相変わらずwp-admin,wp-content、wp-includesに不正アクセスを試みようとしているログが残っていました。

各ファイルごとにアクセス制限しているので、すべて403で返し！完全ブロック！でも油断できないですね。

ほとんどのWPユーザーはwp-adminに対するセキュリティー意識は高いので、他を狙われるケースが増えているのでは？

ワードプレスのセキュリティー対策の基本は新バージョンが発表されたらすぐにアップロードすること！

本体のアップロードはもちろん利用しているプラグインも同様にアップロードして下さい。

最新版になる時には毎回セキュリティー上の脆弱性を修正しています。

更新しないでほったらかしにするとクラッキングされてウィルスが仕込まれた悪意のあるサイトにリダイレクトされることがあります。

自分のサイトがそういう悪意のあるサイトに加担することになります！

サイトを運用する以上、訪問者に迷惑がかからないように最低限できることはしっかりやりましょう！

私が持っている50ドメインのメインサイトは全てワードプレス。

サブドメイン展開も積極的にやっているため、更新サイトは120ぐらいになります。。

すべて更新するのに1時間ぐらいかかりますが、セキュリティーのためすぐに更新します！

管理画面からの更新方法は

• ②管理画面の右上『更新』か上部バーの『更新してください』をクリック
• ②『WordPress 3.6 en_US いますぐ更新』をクリック！
• ③『データベースの更新』をクリック！
• ④『WordPress のデータベースの更新に成功しました !』⇒『続ける』をクリック！

簡単ですね！

ロリポップの第三者によるWPサイト攻撃を受けてXサーバーもさらにWordPressセキュリティー機能を強化！

この機会にXサーバーに乗り換える人も多いのではないでしょうか？

• ①WordPress国外IPアクセス制限

以前からあった機能ですが、wp-admin、wp-login.phpのすべてのファイルに制限がかかります。
海外IPからのブルートフォースアタックを遮断します！私の場合、自分のIPアドレスだけとさらに制限しています。

• ②ログイン試行回数の制限機能

ワードプレスの管理画面で一定数以上のログイン失敗があったIPアドレスは除外とする機能が追加されました。
今までプラグインで対応していた人も多かったと思いますが、標準機能なら便利ですね！

• ③wp-config.phpのパーミッションを「600」へ変更

ロリポップではwp-config.phpを400に変更しましたが、Xサーバーでは公式推奨値「600」へ変更されました。
先ほど自分のXサーバーをチェックしていたら、404にしていたパーミッションが600になっている、、なぜ？？

実際のところ、wp-config.phpはhtaccessで｢deny,allow｣にしているので問題はないのですが、慌ててXサーバーサポートにメールしてしまいました。。

それから30分たって、公式インフォメーションメールが届いた。。

その後届いた問い合わせの返事の1部を抜粋して紹介します。

ーーーここからーーー
WordPressでは初期状態のパーミッションが【644】と設定されているのですが、
それに伴って【404】などユーザー様ご自身がパーミッションを変更されていたファイルについても【600】へと変更されております。

お手数ですが、改めて【404】へと設定をご変更していただければと存じます。
ーーーここまでーーー

当分は公式奨励の600で様子をみます。

ロリポップの大量改ざんにつながった原因の1つとしてFollowSymlinksによる別ユーザファイルの読み込み処理がありましたが、Xサーバーでは別ユーザへのリンクに対して読み込みを制限できるシステムだったので、全く問題ないとのこと。

Xサーバーが安定している所以ですね！

ちなみに私は3つもXサーバーアカウントを持っています・・

Xサーバーが国内初のページ表示速度を向上させる「mod_pagespeed設定」機能を追加しました！

サイトページが表示される時間が速いのもグーグルのサイト評価基準に含まれていますので、早速「mod_pagespeed設定」を全部オンにしました！

ワンクリックで超簡単！Xサーバーは使い勝手がいいですね！

以前、xmlrpc.php内のXML-RPCに脆弱性があり、PingbackDDoS攻撃の踏み台として悪用される事例が多発！

知らない間にXML-RPCを悪用した海外からの不正なアクセスが増えている！

Xサーバーは｢XML-RPCがあるxmlrpc.php｣にアクセス制限できるようになりました！

WPユーザーに優しい！Xサーバーは超オススメ！

追伸：サイト管理人の一番の悩みは訪問者を引きつける文章術ですよね？ユーザー目線で役に立つ、良いコンテンツって言われても・・
と困っている人にオススメのライティング講座↓↓↓