サバカン通信

2クリックでWordPressの脆弱性のチェックと対策を行う

2クリックでWordPressの脆弱性のチェックと対策を行う

WordPressは脆弱性を狙った攻撃対象になりやすくなっています。脆弱性の放置は改ざん被害につながります。

WordPressは世界的に使用者数が多いため、脆弱性を狙った攻撃対象になりやすくなっています。
脆弱性を放置しておくとサイト改ざんの被害にあうことになります。
初心者でも扱いやすそうに見えるWordpressですが、セキュリティへの対応は意外と難しい面があります。
WordPress本体のほかに、WordPressへのプラグインやテーマ、PHPやMySQLなどのミドルウェアなど、チェックする項目は非常に多いものです。

無料で脆弱性のチェックをしてくれるサイトがありますが、実際に使ってみたところ、検知できる項目に限りがありました。
また、検知できたとしても、システム的な知識がなければ、脆弱性の対策ができないということがあります。初心者が安易に対応するとWordpressで作ったサイトが動かなくなる可能性もあります。

世界で一番売れているコントロールパネル PleskのWordPress ToolKit

PleskではWordpressの脆弱性のチェックとその対策をする機能「WordPress ToolKit」が標準で使えます。
システム的な知識が全くなくても、チェック&対策がなんと2クリックで解決できてしまいます。さすがPleskです。
wp_security_scan1「セキュリティスキャン」をクリックして、
2「セキュリティを強化」をクリックするだけで、
初心者の方にも安心で簡単に脆弱性のチェックと対策ができてしまいます。
wp_security_scan2

WordPress Toolkitでできるセキュリティ対策項目

クリックするだけで以下のような多くの項目のチェックと対策をしてくれます。

wp-content フォルダ:wp-content ディレクトリには、安全でない PHP ファイルが格納されている場合があり、そうしたファイルを使用するとサイトに被害が及ぶおそれがあります。WordPress のインストール後は、wp-content ディレクトリから PHP ファイルを実行できるようになります。そのため、セキュリティチェックでは、wp-content ディレクトリの PHP ファイルの実行が禁じられているかが検証されます。

wp-includes フォルダ:wp-includes ディレクトリには、安全でない PHP ファイルが格納されている場合があり、そうしたファイルを使用するとサイトに被害が及ぶおそれがあります。WordPress のインストール後は、wp-includes ディレクトリから PHP ファイルを実行できるようになります。そのため、セキュリティチェックでは、wp-includes ディレクトリの PHP ファイルの実行が禁じられているかが検証されます。

構成ファイル:wp-config.php ファイルには、データベースのクレデンシャルなどが格納されます。WordPress のインストール後は、wp-config.php ファイルを実行できるようになります。何らかの理由で、ウェブサーバによる PHP ファイルの処理が無効になると、ハッカーが wp-config.php ファイルのコンテンツにアクセスすることができます。そのため、セキュリティチェックでは、wp-config.php ファイルへの許可されないアクセスがブロックされているかが検証されます。

ディレクトリブラウジングのパーミッション:ディレクトリブラウジングを有効にすると、ハッカーが、サイトに関する情報(使用されているプラグインなど)を取得する可能性があります。Plesk のデフォルトでは、ディレクトリブラウジングは無効になっています。そのため、セキュリティチェックでは、WordPress インストールのディレクトリブラウジングが無効になっているかが検証されます。

データベースプレフィックス:WordPress データベース テーブルは、どの WordPress インストールでも同じ名前です。データベーステーブルの名前に標準の wp_ プレフィックスが使用されている場合は、WordPress データベース全体の構造が機密になっていないので、誰でもそのデータベースからデータを取得することができます。そのため、セキュリティチェックでは、データベーステーブルの名前のプレフィックスが wp_ 以外になっているかが検証されます。

セキュリティキー:WordPress では、ユーザの Cookie に保存される情報を確実に暗号化するためにセキュリティキー(AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY、および NONCE_KEY)が使用されています。優れたセキュリティキーは、長く(60 文字以上)、十分にランダムかつ複雑でなければなりません。そのため、セキュリティチェックでは、セキュリティキーが設定されているか、また少なくとも英字と数字が含まれているかが検証されます。

ファイルとディレクトリのパーミッション:ファイルとディレクトリのパーミッションがセキュリティポリシーに反している場合は、こうしたファイルが、サイトのハッキングに使用されるおそれがあります。WordPress のインストール後は、ファイルとディレクトリに各種パーミッションを設定できるようになります。そのため、セキュリティチェックでは、wp-config.php ファイルのパーミッションが 600、その他のファイルのパーミッションが 644、ディレクトリのパーミッションが 755 に設定されているかが検証されます。

管理者のユーザ名:WordPress のコピーをインストールすると、デフォルトでは、管理者権限を持つユーザの名前が admin になります。ユーザのユーザ名は WordPress では変更できないので、管理者としてシステムにアクセスする場合は、パスワードを推測するだけです。そのため、セキュリティチェックでは、管理者権限を持つ admin という名前のユーザがいないかが検証されます。

バージョン情報:各バージョンの WordPress には、既知のセキュリティ脆弱性があります。このため、WordPress インストールのバージョンを表示すると、ハッカーが攻撃しやすいターゲットとなります。保護されていない WordPress インストールのバージョンは、ページのメタデータとreadme.html ファイルで確認することができます。そのため、セキュリティチェックでは、すべての readme.html ファイルが空になっているか、またすべてのテーマの functions.php ファイルに「remove_action(\’wp_head\’, \’wp_generator\’);」という行が含まれているかが検証されます。

 

Leave a reply

*
*
* (公開されません)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Return Top