WordPressのセキュリティで最低限やってほしい4つのこと
WordPressで自社ホームページを管理されている方、総務部や情シスの担当者の方に、最低限、確認しておいてほしいことをまとめます。
(この記事は、2023年8月時点の情報です。この記事の最後にも書いてありますが、その時々の情報収集を必ずしてください)
1. まず、何よりもパスワード
WordPressのセキュリティ設定で、いちばん大事なのは、パスワードです。
WordPressの公式ドキュメントでは、以下の内容が推奨されています。
- パスワードの文字数は、少なくとも20文字以上(多いほど良い)
- 大文字と、小文字を使う
- 数字を含める
- 特殊記号を加える(
!"#$%&'()*+,-./:;<=>?@[]^_{}|~`)
WordPressで、自動生成してくれるパスワードを使っていれば、24文字のランダムな文字列になっているはずです。
もし、会社名など、分かりやすい言葉になっている場合は、そのWordPressを制作した会社にパスワードを変更してもらってください。
パスワード変更は、簡単にできます。
2. バージョンを最新にする
レンタルサーバーを利用している場合、PHPのバージョンを変更できる場合があります。
わたしの使っているサーバーの場合、PHP8.2を利用できます。
PHPのバージョンは、できるだけ新しい(数字の大きい)方が良いです。
7よりも8が良く、8.1よりも8.2の方が良いです。
(レンタルサーバーのコントロールパネルのアクセス権限が無い場合は、権限のある方にPHPのバージョンを聞いてみてください)
また、WordPressにもバージョンがあります。
2023年8月13日時点では、6.3が最新です。
可能な限り、バージョンを新しくしてください。
さらに、WordPress使われているテーマやプラグインにも、バージョンがあります。
これも、新しいものが良いです。
WordPressのダッシュボード画面で、更新 ボタンを押すと、バージョンアップできるかどうか分かるはずです。
ただし、バージョンアップは、ときどき不具合を起こすこともあります。
web制作会社に、頼んでやってもらう方が安全です。
プラグインの不具合でバージョンアップできない場合、そのサイトの寿命がきているのかもしれません。
そのときは、リニューアルなどを検討した方が良いです。
3. ログイン画面を隠す
バージョンアップできたら、次に、外部からのアクセスについて確認していきます。
お使いのWordPressサイトで、URLの末尾に wp-admin と入力してください。
たとえば、 https://domain.com/ というURLのサイトだった場合、https://domain.com/wp-admin となるように、アクセスしてみてください。
ログイン画面が出てしまったサイトは、おそらくセキュリティ設定が甘いです。
そのWordPressを作った方、もしくはWordPressを管理してくれる専門業者に、ログイン画面に遷移しない設定をしてもらってください。
4. ログインIDを隠す
次に、同じくURLの末尾に、?author=1 と入力してください。
たとえば、 https://domain.com/ の場合、 https://domain.com/?author=1 となるようにしてアクセスしてください。
もし、~/author/ログインID というようなページになって、ご自身の記事が出てきた場合、セキュリティ設定が甘いかもしれません。
(複数人で管理しているサイトで、筆者が分かるようにする必要があるサイトの場合は、あえてIDが分かるようにしていることもあります。が、通常の企業サイトの場合、そのような設定はまれです)
同じように、末尾に wp-json/wp/v2/users/ をつけても良いです。
こちらのアドレスも、ログインIDが出てくる危険性があります。
ログインIDが表示されてしまうのが嫌な場合は、web制作会社などに依頼して、表示されない設定にしてもらってください。
その他
とりあえず、上記4つをチェックしてもらえれば、そのサイトのセキュリティ状況は何となく分かると思います。
その他の設定として、以下のようなこともチェックできたらしてみてください。
- XML-RPCが適切に設定されているか
- REST-APIが適切に設定されているか
- コメントやお問い合わせにスパム対策がされているか
- ログイン認証に画像認証などが入っているか
- ログイン認証が一定数失敗するとロックされるか
今年の6月に、お料理系YouTuberとして有名なリュウジさんのWordPressサイトが、乗っ取り被害を受けて話題になりました。
(その後、リュウジさんはBASEというシステムに乗り換えました。無難な判断だと思います)
WordPressは、導入が簡単なシステムですが、きちんと管理していくのは、実は難しいです。
管理者の方は、信頼できる管理会社を見つけるか、担当部署でのセキュリティ情報の収集をお願いします。