WordPress のセキュリティ
2022-09-09
検索エンジンで上記タイトルのような文言を検索すると、いろいろな解説記事がたくさんヒットする。各サイトで言っていることをまとめる+各サイトの立場によるバイアスも考慮して情報を抽出してみる。(検索結果の上位20件程度を見た結果)
まずどんなタイプのサイトがヒットしたか
- レンタルサーバー会社
- セキュリティ対策ソフトメーカー
- ホームページ制作業界
- メディア系
- WordPress.org 本家サイト
多くのサイトが共通に挙げていること
- WordPress 本体のバージョンアップ・自動更新の有効化(基本)
- WordPress プラグインのバージョンアップ、及び不要プラグインの無効化・削除(基本)
- パスワードは複雑にする(WordPress の自動生成機能を利用)
- 管理者ユーザーの admin は利用停止・削除、サイト上ではニックネームを利用する
- セキュリティ対策プラグインの導入(ログイン URL 変更、ログイン失敗時のロック、etc)
- バックアップの定期的実施(最新の WordPress では XML ファイルの出力で簡単実施可能)
- 常時 SSL の利用(あえて挙げていないサイトも多いが)
一部サイトで推奨されていること
- 管理画面のアクセス制限(BASIC認証、IP制限などのやや踏み込んだ対策)
- wp-config.php ファイルへのアクセス制限(内容としては高度。公式ドキュメントに詳細)
- WAF の利用(レンタルサーバー会社、セキュリティソフトメーカーの推し)
考え方
少しサーチしただけでもこれだけある。全てをいっぺんに実施するのは難しいし、挙げられている対策の中にはまずサーバーの仕様を確認したほうがよさそうなものも含まれている(後半のアクセス制限関連)。あるいは効果は大きいが運用面での影響が無視できないものもありそうだ。例えば IP アドレスの制限は強力だが、モバイルからの更新ができなくなる可能性が高い。そのあたりのトレードオフを考慮した結果が答えとなるため、サイトオーナーや組織ごとに対策の組み合わせは色々異なる。