【セキュリティ】最低限やっておきたいwordpressのセキュリティの5つ

2021.11.16

世界のサイトの4割はwordrpessだ。

なんていう情報があります。

実際、ほとんどのサイトはwordrpessで出来ているのは、web屋さんなら実感していると思います。

でも、ほとんどのサイトがwordpressで出来ているなら、wordpressを狙ったウイルスを作るのがハッカー目線では考えられます。

ですので、wordpressのサイトを作る際に気を付けるべきルールを書いてみます。

 

 

 

ルール1、ディレクトリ名にwpを使わない

wordrpessを入れるディレクトリはわかりやすくwpにする。

これはもうweb業界の常識ではないでしょうか。

もちろん日本にかぎらず世界中のweb業者がwordpressは

/wp/

としていると思います。

これ危険です!

ネット上を自動巡回しているwordpress用のウイルスは、サイトを見つけるととりあえず

/wp/wp-login.php

にアクセスして入り口があるか確認します。

そしてここに入り口があれば攻撃開始です。

よくあるのは

https://sample.com/
sample.com

↑サイトのドメイン

https://sample.com/wp/
sample.com

↑wordpressの管理画面のドメイン

これ一番多いのではないでしょうか?

もちろんそんな事はハッカーもわかっています。

なのでとりあえず

/wp/

を狙って攻撃をしてみる。

敵が攻撃してくるとわかっている場所にわざわざ置くのは馬鹿げていますね。

サイトドメインは

https://sample.com/
sample.com

でもちろんいいですが

管理画面のドメインは

https://sample.com/wakarinikui/
sample.com

↑こんな感じにしていいかもしれません。

当然ですが

https://sample.com/wordpress/
sample.com

なんかはダメですよ!!

 

 

ルール2、管理人のidにadminは使わない

敵はwordpressのログインのアドレスがわかったら、次にidとパスワードを予想をして攻撃してきます。

wordpressの自動インストールをすると管理人の名前が

admin

となっている事が多いです。

これ危険です!

攻撃者はidを予測して入力して、総当たり攻撃をしてきます。

admin

なんてid使うのは、どうぞ入って下さい、といって扉の鍵をかけないのと同じ。

他にも、webの業者さんが

developer

web_admin

なんてidで管理人作って作業しているのは、何度も見た事があります。

危険ですよ!?

セキュリティ意識がほとんどないweb業者は本当に多い。

そして顧客のサイトが書き換えられたりして迷惑をかける。

wordrpessは管理人として侵入されたら色んな事が出来てしまいます。

よくあるのは、スパム用のプラグインをインストール、してそのプラグインからやりたい放題。

下手すると、同じサーバー内の全ファイルが汚染されたりして、目も当てられない状況になります。

絶対に英単語の名前は付けない事!

ウイルスのほとんどは外国製なので、逆に日本語をアルファベットにすると予測はもう無理でしょう。

例えば

tonkatu_daisuki

とか

ramen_daisuki

とか。

とりあえず、管理人のIDは14文字以上の予想されにくい名前を付けて下さい。

admin

なんて見たら卒倒します。

 

 

ルート3、管理人のIDを隠す

管理人のIDを隠すのも大切です。

wordrpessは管理人のIDがデフォルトのままだと丸見えになります。

⬆️このように管理人の投稿に名前が出ます。

これはログインIDそのままなので、あとはパスワードを総当たり攻撃させれば管理画面に入れてしまうかもしれない。

この表示を変えるのは実は簡単で、管理画面のユーザーユーザー編集ページで

「ブログ上の表示名」

を変更するだけで出来ます。

⬆️このように適当にニックネームをつけて、表示上の名前を変更して隠して下さい。

 

 

4、SSL化する

ドメインの頭にある

http://

今はほとんどないですが、2021年で未だにこのドメインのままの古いサイトも存在します。

http://のままだと何が問題かと言うと、暗号化されないので、例えばログイン時のIDとパスワードがそのまま送られます。

例えば、

ID:qwerty

パスワード:12345678

なんて簡単なIDとパスワードでhttp://のまま送ると

フリーWIFIのデータの流れを見ると、そのまま送られます。

これはつまり、フリーWIFIに繋がっている他人から丸見えになるという事です。

https://

にするだけで、送られるデータが暗号化されて安全となります。

もしサイトのドメインがhttp://のままなら、すぐにhttps://変更して下さい。

 

 

5、更新する

wordpressのテーマとプラグインは、最新版を保って下さい。

どうして最新版にしたほうがいいか?

それは、テーマやプラグインにセキュリティ上の穴があった場合、その穴が塞がれた新しいバージョンが出ます。

つまりテーマやプラグインが更新された時は、セキュリティの穴があり、その穴が塞がれたバージョンの可能性が高いです。

ですので、更新出来るテーマやプラグインをそのままにしているという事は、セキュリティの問題をそのままにしているという事と同じ意味になります。