こちらのおずぶろぐは、WordPressを利用しております。
CMSのシェアとして、日本で80%以上、世界でも60%以上のシェアをもっているので、個人でも組織でも、かなりのサイトがWordPressで運用していることかと思います。
ただ、それだけシェアの高いWordPress、攻撃の対象となる事も多いです。
今回は本サイトで実施しているセキュリティ対策について、少し紹介していきたいと思います。
セキュリティ対策
アップデート
まず、何よりも大事なセキュリティ対策は、最新のアップデートをあてることだと思います。
(サイトは、インターネットに公開してなんぼのものなので、閉じるなんてことは考えられませんよね)
WordPress本体のアップデートも必要ですが、合わせてPHPやMySQLのバージョンも定期的に最新版にしておくといいかと思います。
AWSのLightsailのWorーdPressなど、PHPのバージョンが古くなってくると、最新のアップデートがあてられない場合があります。
(Lightsailの場合、PHPのバージョンアップを検討するより、新しくLightsailのWordPressを立ち上げて、引っ越しした方が楽だし早いですよね・・・)
ちなみに本ブログは、以下の記事でも紹介しておりますが、エックスサーバーで運営しております。
AWSよりも制限はありますが、PHPのバージョンの切り替えはエックスサーバー側で切り替えられるので、運用的には楽なのでいいですねー。
アップデートは、日頃からサイトの記事を更新しておけば、WordPressの更新もダッシュボードにあがってくるので、そこでサイトも定期的に更新し、合わせてWordPressのバージョンもアップをしておくことが、最大のセキュリティ対策になるかと思います。
もしWordPressの記事を書く担当者が複数いる場合は、しっかりとアップデートをどうするか決めておく必要がありますね。
(放置しないようにしましょう)
そして、アップデートだけでなく、ログも定期的にチェックしておいたりするともっといいですね。
(何かある際は、その前に予兆があるものなので・・・)
必要ないテーマやプラグインは入れない
あとは、不要なテーマ・プラグインは入れないこと。
使っていないテーマやプラグインは削除しておくとリスクが低下しますね。
また、一定期間アップデートされていないプラグインは、移行対象として考えたほうがいいかと思います。
いくらWordPress本体のアップデートを定期的に実行しても、プラグインのセキュリティホールをつかれてしまっては仕方ないので。
アクセスの制御
それと、WordPressでサイトを運用していている方は感じる事かと思いますが、ログを見るとわかりますが、IPアドレスを見ると海外から攻撃を受ける事が多いです。
コンテンツ内容によっては、アクセス制限として、管理者画面を利用できるIPアドレス・国を限定するのもいいかと思います。
ログイン初期アドレス(wp-admin)の変更
特に、ログイン時の初期アドレス(wp-admin)に向けてアクセスがあるので、こちらのアドレスは変更したほうがいいですね。
BASIC認証入れておくと、ブルートフォースアタック対策にもなっていいと思います。
2段階認証の導入
あとは2段階認証も入れておくといいと思います。
スマホアプリは必要ですが、簡単にできる対策としては、IDとパスワードにプラスして、Authenticatorアプリの組み合わせがリスク的に安心かと思います。
FTPの廃止(やっても必要時だけ)
FTPを利用する場合は、プロトコルをより強固なSFTPなどに変更するといった事もありますが、WordPress上でもファイルのアップロードやダウンロードはできますし、日常でFTPを繋いで何かするという運用をせずに、もし何か必要なときだけ解放して、作業後に閉じるようにすればリスクも低くなるのではないかと思います。
まとめ
今回は、本サイトで実施しているセキュリティ対策の一部を記載しました。
また、セキュリティ対策として、どれも知られて困るものでもないものについて公開しております。
あと大切なのは、WordPressのツールのアップデートだけでなく、定期的に情報をチェックして、そちらの意味でも常にアップデート「し続ける」ことが大事なんだと思っています。
スキル・キャリアと同じで、安定しているからといって、そのまま放置しないことが大切ですね!
こちらの情報が何かの参考になれば幸いです。
株式会社OZでは、他の方達にも有益と思われる情報は、社内ナレッジに留めず、積極的に情報公開するという方針をとっております。
株式会社OZをよろしくお願いします!
