安心して WordPress を使おう!クイズでわかるセキュリティ WordCamp Niigata 2019

株式会社mgnの齋木 弘樹さんによる、WordPressのセキュリティに関するセッションです。

クラッキング

不正ログインをされて、ホームページを書き換えられたり、重要な情報が盗み取られたりすることがあります。

また、不正なプログラムの埋め込みをされて、知らないプログラムが勝手に動いたりすることもあります。

対策

世界の中のCMSの中で61.5%はWordPress。日本語のCMSシェアでは8割を超えています。シェアが高いので狙われやすくなっています。

攻撃に関する情報はJPセキュアのレポートなどで分かります。

まずできる対策を考えましょう。

パスワード対策

2018年、最も使われたパスワードは「123456」。覚えやすいパスワードですが、攻撃するのは簡単になってしまいます。

理想のパスワードは想像されにくい文字列で、最低でも8桁以上、大小英文字、数字、記号も混ぜたものです。

管理をするには、管理ツールを使う、他人と共有しない、手帳に書く、というのがオススメです。

大事なことはパスワードは覚えないということです。

手帳に書く場合は、絶対にパソコンと一緒にしないこと、管理は厳重にし、もし、手帳をなくしたらすべてのパスワードを変更して再登録が必要です。

サーバーでの対策

WAFの導入、PHPのバージョンを最新にすること、SSLの設定が有効です。

WAFはウェブアプリケーションファイヤーウォールのことで、各レンタルサーバーのページで確認できます。

初期設定がOFFのサーバーもあれば、ONのサーバーもあります。

PHPはWordPressで利用するプログラム言語なのですが、新しいバージョンのほうが安全です。7.3または7.2が選べるサーバーがオススメ。

WordPressは7.3以上を推奨しています。

長く使い続けている場合は、特に注意が必要で、アップデートをしましょう。

セキュリティ面だけでなく、動作速度も速いので、アップデートはしておきましょう。

PHPのバージョンアップは、テーマやプラグインとの互換性も確認が必要です。PHP Compatibility Checkerなどを使うとすぐに確認できます。

常時SSL

常時SSLに対応していないと、情報を盗み見されてしまいます。

新たにリニューアルするなら必須、運用していて設定できていないならば早めに対応しましょう。

WordPressの設定での対策

WordPressのアップデートとログインパスワードが重要。

11月12日にはWordPress5.3が公開予定になっています。

マイナーアップデートは自動更新されるようになってます。セキュリティアップデートにも対応しているので是非、適用しましょう。

メジャーアップデートもできるだけ対応しましょう。大きい機能追加・変更も含まれます。

公式上は最新のものだけしかサポートしていないので、現在では5.2.4しかサポートされていないことになります。

ログインパスワードはパスワード生成ツールがウェブ上にたくさんあるので、自動生成して複雑なパスワードを利用しましょう。

セキュリティプラグイン

セキュリティプラグインを入れる前に、まずは、使ってないプラグインは削除。

インストールするなら目的に合ったものを選択し、必要な機能を正しく設定しましょう。

同じような機能がかぶることもあるので、確認が必要。

さらに細かく設定をしたい場合には、プロに頼むようにしましょう。

まとめ

WordPress MeetupやWordCampなどでも、セキュリティの勉強ができますので、足を運んでみるのが良いでしょう。

お問い合せはこちらから
無料メルマガ登録

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA