連載
» 2016年10月19日 05時00分 公開

地味に5分で分かるWordPress (4/5)

[井村圭介,ファンタラクティブ]

【4分】WordPressならではのセキュリティ対策

 PHPのフレームワークである以上、セキュリティ対策はWordPressを使う上で避けては通れない要素です。ここではサーバやPHP、データベースそのもののセキュリティ対策は割愛し、WordPress特有のリスクと対応方法に絞って解説します。

管理画面へのアタック

 WordPressにはコンテンツを入力するための管理画面が付属しています。攻撃者が管理画面にログインできると、データの閲覧やコンテンツの編集だけではなくテーマやプラグインのソースコードを編集することも可能になり、サイトを閲覧するユーザーに危害を及ぼすことのできる状態になってしまいます。

 管理画面にはユーザー名とパスワードの組み合わせによるログイン認証が設けられており、ユーザー名とパスワードでログインするその他のサービスと認証自体の信頼性は変わりません。

 ですが、WordPressは市場シェアが高いこともありログイン画面へのブルートフォースアタック(総当たり攻撃)の標的になりやすいことも事実です。

 WordPressの管理画面を一般ユーザーに開放しておく必要があるケースはあまりありません。管理画面に下記のような認証機構を追加して設けておくことでブルートフォースアタックの成功率を下げることができます。

  • 二段階認証
  • IP制限
  • ベーシック認証
  • ログイン試行回数の制限

WordPressやテーマ、プラグインをアップグレードする

 WordPress本体やテーマ、プラグインにセキュリティホールが見つかることがあります。WordPress本体はもちろんのこと、メンテナンスがきちんと行われているテーマやプラグインであれば、対策を施したバージョンがリリースされるのでアップグレードが必要です。

 アップグレード自体は管理画面から簡単に行えますが、場合によっては動かない機能やエラーが出てサイトが閲覧できなくなることもあります。

 WordPressのアップグレードページやCodexにもアップグレード時の詳細な手順の記載がありますので参照しながら常に最新版に保ってください。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。