FC2ブログ
WPサイトの安全対策
ここのところ、サイトのセキュリティについて調べています。
なぜに、セキュリティ関連から調べ始めたかというと・・・。

WordPressで作られたサイトに対して、つい最近(先月4月ごろ)
大規模なブルートフォースアタック(Brute force attack)が
仕掛けられたから。

「WordPressサイトへのブルートフォースアタック」というのは、
簡単に言うと、「片っ端からパスワードを試して、運よくひっかかれば、
サイトをのっとっちゃおう」、というものです。

それだけWordPressがメジャーになったということでもありますね。


「人のものをとってはいけません」と、
子供のときに教えてもらわなかったのでしょうか。

迷惑な話です。まったく。

人が作ったサイトをのっとって、悪さをするやからが、
世の中にはいるんですよねぇ。

世知辛い世の中です。


ま、それはおいといて。

サイトを守るのは、サイトを運営しているものの責任。
だから、とりあえず、セキュリティ関連をしっかり
調べておこうか、ということにしました。

WordPress用のセキュリティとして
考慮しなければならないのがこんなこと。

1)最新版を使う
 * WordPressを常に最新版にする
 * 使用しているプラグインも最新版を使う

2)WordPress管理画面に、不正ログインされないための対応策。
 * ログイン名にadminを使わない
 * パスワードの強化
 * SSLでログイン

3)サーバーにおいてあるファイルを、外部から見ることが
 できないように、.htaccess で制御。

4)勝手に内容を書き換えられないように.htaccess や wp-config.phpなどの
 ファイルパーミッションを変更。

5)WordPress用のデータベースの保全。

6)セキュリティ関連のプラグインの導入。
  (不具合が出るものもあるので、導入の際には注意が必要)

7)公式配布のテーマやプラグインを使用。使っていないものは削除。

8)ファイルアップロード時は、SFTPやFTPSを使う。(FTPは使わない)

9)万が一のときのために、バックアップを定期的に取る。

などなど。

このほかにも、サイトカスタマイズのために
PHPコーディングするなら、考慮すべき事には
  XSS(クロスサイトスクリプティング)
  SQLインジェクション
  CSRF
  クリックジャッキング
  セッションハイジャック
  ディレクトリ・トラバーサル
  HTTPヘッダーインジェクション
  OSコマンドインジェクション
などありますが、詳細については、ここでは割愛。
(公式配布されている「テーマ」を使うなら、これらの対策は必要ないだろうし)


WordPress自体は、パスワードを破られなければ、
大丈夫な設計をしているらしいです。

でも、WordPress自体オープンソースなので、
コードを解析して、弱いところにつけこんでくる
いやらしいやつらもいるわけで・・・。

無料ソフトで簡単にサイトを作れるようになったからと言って、
サイトを作ることだけを考えるのは、要注意です。

自分でできることは、できるだけ
やっておいたほうがいいですね。

安全面で、手を抜くわけにはいきません。


ところで・・・

ウェブ検索で大体のことは調べられるなんて、すごいことです。

情報量が半端無く多いので、その中から必要な情報を抽出
することは大変ですが、有益な情報を提供してくれている人たちに
感謝です。


Secret
(非公開コメント受付不可)

検索フォーム
プロフィール

 りょうこ

Author: りょうこ
★..:*:..☆..:*:..☆..:*:..★

1994年、夏、
 カリフォルニアにやってきて、
2009年、夏、
 カリフォルニアからシカゴへ移住。

節約をこよなく愛す普通の主婦です。
ダンナ1人、娘2人の4人家族

★..:*:..☆..:*:..☆..:*:..★

タティングレースを教えています。

シカゴ郊外北西部にお住まいで
タティングレースに興味のある方は
 RKTatting@gmail.com
までお問い合わせください。

★..:*:..☆..:*:..☆..:*:..★

リンク
最新記事
最新コメント
カテゴリ
月別アーカイブ