セキュリティ対策について
目次
セキュリティ対策の必要性
WordPressサイトへのセキュリティ被害として代表的なものとしては、WordPress管理画面のID・パスワードが突破されるケースや、WordPressの最も重要な構成ファイルであるwp_config.phpファイルが流出したり不正に書き換えられるケース、外部から投稿可能にする仕組みであるXML-RPC機能を悪用したケース、WordPress内のログファイル等から情報を盗み出して不正に侵入するケースなどが挙げられます。
グローイングウェブワークスが提供するWordPress保守サービスでは、WordPress管理画面へのログインセキュリティの強化、wp_config.phpファイルのセキュリティ強化、WAF(Webアプリケーションファイアウォール)の設置等を行うことで、WordPressサイト全体のセキュリティを高め、外部からの攻撃リスクを大幅に減らします。
- WordPress保守サービスのセキュリティ対策は、ご契約後の初期設定時に1度のみ実施いたします。
- WordPress保守サービスのセキュリティ対策は、全ての攻撃リスクを100%防ぐことができるものではありませんが、外部からの攻撃リスクを大幅に減らすこが可能です。
管理画面へのログインセキュリティ強化
以下を実施することで、WordPress管理画面へのログインセキュリティを強化しています。
- ログインID、パスワードに加えて画像認証を行う仕組みを追加します。
- ログインエラー時のセキュリティを強化します。
- ログイン再試行時のセキュリティを強化します。
- 万一、ログインID・パスワードが外部に漏れた場合でも簡単にはログインできない仕組みを追加します。
※各セキュリティ対策のより具体的な方法は、セキュリティの関係上ここでは記載していません。
wp_config.phpファイルのセキュリティ強化
wp_config.phpファイルはWordPressにとって重要な情報を記載しているファイルとなりますので、この情報が漏れることにより、Webサイトに致命的な攻撃を許してしまいます。WordPress保守サービスでは、wp_config.phpファイルに外部からアクセスすることを困難にする仕組みを追加します。
WAF(Webアプリケーションファイアウォール)の設置
WAF(Webアプリケーションファイアウォール)を設置することで、外部から投稿可能にする仕組みであるXML-RPC機能を使って悪用できない仕組みや、WordPress内のログファイル等から情報を読み出すことを困難にする仕組み、クロスサイトスクリプティング攻撃 (XSS) を防止する仕組み、偽装された検索エンジンロボットをチェックする仕組み、その他の既知の攻撃手法を防止する仕組み等を追加します。