地味に5分で分かるWordPress(4/5 ページ)
本稿では、WordPressとは何かの概要から使い始めるための環境、WordPressならではのセキュリティ対策、役に立つプラグイン、テーマのカスタマイズまで、5分(1ページ約1000文字)で解説していきます。
【4分】WordPressならではのセキュリティ対策
PHPのフレームワークである以上、セキュリティ対策はWordPressを使う上で避けては通れない要素です。ここではサーバやPHP、データベースそのもののセキュリティ対策は割愛し、WordPress特有のリスクと対応方法に絞って解説します。
管理画面へのアタック
WordPressにはコンテンツを入力するための管理画面が付属しています。攻撃者が管理画面にログインできると、データの閲覧やコンテンツの編集だけではなくテーマやプラグインのソースコードを編集することも可能になり、サイトを閲覧するユーザーに危害を及ぼすことのできる状態になってしまいます。
管理画面にはユーザー名とパスワードの組み合わせによるログイン認証が設けられており、ユーザー名とパスワードでログインするその他のサービスと認証自体の信頼性は変わりません。
ですが、WordPressは市場シェアが高いこともありログイン画面へのブルートフォースアタック(総当たり攻撃)の標的になりやすいことも事実です。
WordPressの管理画面を一般ユーザーに開放しておく必要があるケースはあまりありません。管理画面に下記のような認証機構を追加して設けておくことでブルートフォースアタックの成功率を下げることができます。
- 二段階認証
- IP制限
- ベーシック認証
- ログイン試行回数の制限
WordPressやテーマ、プラグインをアップグレードする
WordPress本体やテーマ、プラグインにセキュリティホールが見つかることがあります。WordPress本体はもちろんのこと、メンテナンスがきちんと行われているテーマやプラグインであれば、対策を施したバージョンがリリースされるのでアップグレードが必要です。
アップグレード自体は管理画面から簡単に行えますが、場合によっては動かない機能やエラーが出てサイトが閲覧できなくなることもあります。
WordPressのアップグレードページやCodexにもアップグレード時の詳細な手順の記載がありますので参照しながら常に最新版に保ってください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Dreamweaverで始めるWordPressサイト構築の基礎知識
Dreamweaverの概要と新機能、WordPressの概要、環境構築を行う際に必要な初期設定などを紹介する。 - WordPress自体のチューニングが必要な理由と高速化の基本的な考え方
企業のCMSサイトやオウンドメディアなどエンタープライズ用途での利用が増加しているWordPressの高速化について解説する連載。初回は、WordPressの高速化が求められる背景や、WordPress高速化の基本的な考え方であるページのロード時間とその構成要素、1秒当たりの同時アクセス数について解説します。 - 初心者でも気軽にWordPressサイト作成! して大丈夫なの?
2016年6月のセキュリティクラスタでは、JTBや佐賀県の不正アクセス事件が大きな話題を呼ぶとともに、初心者が自前でWordPressサイトを立てることの是非が議論されたのでした。