WordPressを導入したコーポレートサイトにおすすめ!6つの「セキュリティ対策」

こんにちは。non-standard worldの佐藤です。

コーポレートサイトのCMS(更新システム)でも定番として導入される、WordPress。CMSは運用の利便性を考えると必須のツールですが、そこには常にセキュリティ上のリスクがあることを忘れてはいけません。

とはいえ、具体的にどういった対策が必要なのか、お悩みの方もいらっしゃるのではないでしょうか。
そこで今日は、WordPressを導入したコーポレートサイトにおすすめのセキュリティ対策についてご紹介します。

対策1. WordPress管理画面の保護

管理画面に対して総当たり攻撃を仕掛け、ユーザー名・パスワードを当てようとする攻撃についての対策です。

対策1-1:IPアドレスによるアクセス制限

管理画面に対して、IPアドレスによるアクセス制限をかけることで特定の場所(会社等)からのみアクセスできるようにします。

具体的には、下記に対してIP制限をかけます。

  • /wp-login.php
  • /wp-admin/ ※ただし admin-ajax.php を除く

対策1-2:2段階認証(推奨)

通常のユーザー名・パスワードでの認証に加えて、スマートフォンを使った認証を行うことで、よりセキュアな環境を実現します。Googleの提供する、スマホを利用した2段階認証システムの利用が便利です。

対策1-3:ログインロックダウン(推奨)

ユーザー名・パスワードの入力間違いが続いた場合、総当たり攻撃の可能性があるので、そのIPアドレスからのアクセスを一定時間ロックアウトします。

対策1-4:アクセス、操作のログを残す(推奨)

万が一乗っ取られた場合に備え、操作履歴を残しておくことで不審な操作を監視できます。

対策2. データベース情報の保護

WordPressの「データベース接続情報」を盗み出そうとする攻撃についての対策です。

対策2-1:wp-config.phpへのアクセス制限(推奨)

データベース接続情報が記載されているwp-config.phpについて、外部からのアクセスを禁止します。

対策3. コーポレートサイトの改ざん対策

プログラムの脆弱性を突いてマルウェア(悪意のあるソフトウェア)を仕掛け、コーポレートサイトの内容を改ざんしようとする攻撃についての対策です。

対策3-1:wp-includesへのアクセスの制限

WordPressのコアな機能が入っているwp-includes以下のフォルダについて、外部からアクセスできないようにします。

対策3-2:ファイル編集の無効化(推奨)

WordPress管理画面からWordPressのテーマファイル(デザイン情報)、プラグインファイル(追加機能群)を編集できないようにします。

対策4. セキュリティ対策プラグインの導入

コーポレートサイトに対する各種攻撃についての総合的な対策です。

対策4-1:総合セキュリティ対策プラグインiThemes Securityの導入(推奨)

各種攻撃の検知と対策を行ってくれるセキュリティ対策プラグインiThemes Security を導入します。

対策4-2:テーマ、プラグインチェッカーの導入(推奨)

テーマ、プラグインに脆弱性が潜んでいないかチェックするプラグインを導入します。

対策5. 自動バックアップの導入

万が一、コーポレートサイトが改ざんやクラッキングにあった場合のスムーズな復旧のために必要です。

対策5-1:ウィルス対策および自動バックアップサービス、VaultPressの導入

定期的にウィルス感染チェックとバックアップを行ってくれるWebサービスVaultPressを導入することで、ウィルス感染を防ぐとともに、感染した際の復旧作業をスムーズに行うことができます。

*外部サービスにデータのバックアップをとることが、セキュリティポリシー上問題ないか確認が必要です。

対策6. ファイヤーウォールの導入

悪意のあるアクセスがWebサーバーに到達することを防ぎます。

対策6-1:ファイヤーウォールサービスCloudFlareの導入

サイトの高速化およびファイヤーウォール(悪意のあるアクセスがWebサーバーに到達する前に防ぐ機能)を提供するサービス「CloudFlare」を導入することで、攻撃を水際で未然に防ぎます。

*現サーバーにおいて既にファイヤーウォールの設置がある場合は必要ありません。

 

いかがでしたでしょうか。もし、WordPressを導入しているが対策を取っていないという場合には、ぜひ早めの対策実施をおすすめします。

安全なCMS環境を実現したうえで、コーポレートサイトの運用を行っていただければ幸いです。


コーポレートサイト担当者のお悩み募集中です!
コーポレートサイト担当者のお悩み募集中です!

コーポレートサイト担当者のお悩み解決!」 のコーナーでは、企業のWeb担当者さまが普段から抱えている疑問・質問を一般募集しております。
ご質問を弊社ブログにて紹介させていただいた方には、オリジナルのポストカードセットをプレゼント。
下記の「ご意見ご感想 送信フォーム」より、どんな小さな疑問でもお気軽にお寄せください。
*ブログ掲載時に、質問者様の会社名やお名前が公開されることはありませんのでご安心ください。

ポストカードセットのイメージ
*絵柄、内容は変わる場合がございます