WPのセキュリティ対策 当組合の経験ご紹介
自社HPを自作(部分的に利用含む)を考える場合、WordPressは候補ですが、セキュリティは大切。
攻撃は、ログイン窓口から・利用システムの脆弱部分から・大量送りつけでサーバー混乱させるなどいろいろ手口あり。
対策には利用システムの自動Update・多数のセキュリティ機能の有効化と利用が役に立つ。
- サーバー側 phpやDBソフトなどのUpdate
- WordPress側 WordPress、テーマ、各種PluginsのUpdate
- Plugins利用 siteguardなど設定項目の有効化と利用
当組合の場合、セキュリティ対策不十分で最初に立ち上げたWP版はハッキングされ停止。WPを再インストール後下記の攻撃判明し対策したら終息した。
- ログイン利用の攻撃 =>ログインURL変更と隠蔽
- xmlrpc利用の攻撃 =>xmlrpcを停止
サーバー設定で、ネットでphp脆弱性指摘のあるver7.1を8.3へ変更。
デジタルサービスのSPIRAL社によると
WP用の推奨セキュリティPlugins 5つ
WordPressのセキュリティ対策におすすめのプラグインは下記5つ
- SiteGuard WP Plugin(初心者向け)
- Google Authenticator(初心者向け)
- All In One WP Security & Firewall
- iThemes Security
- Wordfence Security
基本的なセキュリティ対策を実施したい方は、1・2を導入するのがおすすめと。
セキュリティを実現する具体的な設定が記載されている .htaccess の管理必要
その解説サイト