「これだけ」はやっておこう──WordPressのセキュリティ対策、基礎中の基礎:とにかく速いWordPress(18)(2/2 ページ)
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回から2回にわたって、WordPress管理者向けセキュリティ対策の基礎とその方法を解説します。
(3)WordPressアプリケーションを「最新状態」に保つ
WordPressアプリケーションは、主にWordPressコア、テーマ、プラグインの3つで構成されます。「これらのコンポーネントを最新に保つこと」がWordPressのセキュリティを確保する基本対策となります。
なお、使用するテーマやプラグインについては、WordPress.orgの公式ディレクトリに登録されており、かつメンテナンスが継続しているものか、制作会社や開発会社がオリジナルで開発したものを使うように心掛けるのも一案です。WordPress.org以外で一般公開されているもの、もしくは有償で販売されているが、どんなメンテナンスが行われているのかが不明であり、容易にアップデートできないテーマやプラグインはなるべく避けることが推奨されます。
一方、公式ディレクトリに登録されていて、メンテナンスが継続しているテーマやプラグインならば、自動アップデートやWordPressの管理画面から最新版にアップデートすることで、最新の状況を保つことが可能です。
この他、制作会社や開発会社に依頼して開発したテーマやプラグインの場合はどうでしょう。その制作者に依存する側面はあり、油断も禁物ですが、一般的にセキュリティリスクはそれほど高くないと想定されます。配布数が少数であり、ソースコードを外部から参照することが難しいためです。攻撃者は小規模なプラグインやテーマを攻撃対象にするよりも、一般公開されていて、明確な脆弱性があり、そして利用者が多く、容易に攻撃対象にしやすいものを選ぶ方が効率が良いためですね。
WordPressの自動アップデート方法については、以下の連載バックナンバーで詳しく解説してあります。【保存版】として、ブックマークしておくこともお勧めします。
(4)WordPressのファイル配置、パーミッションを適切に設定する
最後に、WordPressの「ファイル配置とパーミッションを適切に設定する」ことも重要です。オーナーとパーミッション設定内容は、以下が推奨されます。
| オーナー | パーミッション | |
|---|---|---|
| wp-config.php | kusanagi.kusanagi | 0644 |
| DocumentRoot以下 | kusanagi.kusanagi | ファイル:0644、ディレクトリ:0755 |
| wp-content/uploads以下 | httpd.www | ファイル:0644、ディレクトリ:0755 |
| wp-content/uploads/.htaccess | kusanagi.kusanagi | 0644 |
WordPressのファイル配置と正しいパーミッション設定を行う方法については、以下の連載バックナンバーで詳しく解説してあります。
特に、データベースの接続情報や各種設定情報が記述されている「wp-config.php」の配置位置については、公開領域となるドキュメントルート直下ではなく、ドキュメントルートの1つ上の階層に移動させることが望ましいです。これは、仮にWebサーバの設定に問題があった場合でも、wp-config.phpをダウンロードさせない、もしくは内容を表示させないようにするためです。また、wp-config.phpの編集過程で作成されることがある、wp-config.php.swpやwp-config.php.bakなどの「一時ファイル」や「バックアップファイル」が公開領域に残ってしまう可能性もあります。これらを狙う攻撃を回避するために、wp-config.phpは公開領域に配置しない方がよいでしょう。
ちなみに、高速WordPress仮想マシンとして提供されている「KUSANAGI」では、上記のオーナー、パーミッション、wp-config.phpの配置位置が「実際にどうなっているのか」の情報をWordPressのダッシュボードで簡単に確認できるようになっています(図1)。改善点がハイライトされて表示されますので、KUSANAGIユーザーであればこれを参考に設定するとよいでしょう。
- 関連記事:“いきなり1000倍高速”になるWordPress高速化チューニング済み仮想マシン「KUSANAGI」とは何か
- 関連記事:“いきなり1000倍高速”WordPress仮想マシン「KUSANAGI」は、実際にどれだけ速いのか
次回は今回の続きとして、WordPressの実行環境としてのサーバのセキュリティと、WordPressアプリケーションの開発時に開発者が留意すべきポイントを開設する予定です。お楽しみに。
筆者紹介
中村けん牛
1971年栃木県生まれ。中学1年生で電波新聞社の『マイコンBASICマガジン』にプログラムを寄稿して以来、プログラミング歴30年。早稲田大学法学部を卒業後、野村證券に入社。公認会計士第二次試験合格。2002年にプライム・ストラテジー株式会社を設立、代表取締役に就任する。2005年にPT. Prime Strategy Indonesiaを設立して以来、アジアでのITビジネスに携わる。執筆監訳書籍に『WordPressの教科書』シリーズ(SBクリエイティブ)、『詳解 WordPress』『WordPressによるWebアプリケーション開発』(ともにオライリー・ジャパン)などがある。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
WordPress脆弱性発覚、その後の状況 4.7.2リリース時に脆弱性が公開されなかった理由
2017年2月に発覚したWordPressの脆弱性により、既に約10万件ものサイトで改ざん被害が発生しているという。セキュリティ企業 ESETが、公式ブログで背景と現状、対処方法を解説した。
容易にWebサービスを高速化できるNginxを使いこなすための秘訣とは
高速で軽量なOSSのWebサーバとして注目されている「Nginx」。使いこなすための課題や有効なアーキテクチャ構成などをサイボウズでの導入事例と共に明かす。
高速・軽量・高機能……Nginxの基礎知識
処理能力の高さなどを理由に、近年、大規模サイトを中心に急速にシェアを拡大しているWebサーバー「Nginx」。この連載では、その特徴と魅力を分かりやすく紹介します。
WordPress自体のチューニングが必要な理由と高速化の基本的な考え方
企業のCMSサイトやオウンドメディアなどエンタープライズ用途での利用が増加しているWordPressの高速化について解説する連載。初回は、WordPressの高速化が求められる背景や、WordPress高速化の基本的な考え方であるページのロード時間とその構成要素、1秒当たりの同時アクセス数について解説します。