ブログやWebサイトの構築に便利な「WordPress」ですが、世界的にも広く使われているため、不正アクセスのターゲットとなることがあります。
エックスサーバーを使用している場合にオススメなセキュリティ対策を紹介します。
WordPressの管理画面にパスワード認証を設定する
WordPress 管理画面のログインページ自体にもパスワードを設定することができます。
正しい情報を入れない限り、ログインページにすらアクセスできません。
この設定により、パスワードを大量に試してログインを試みる不正アクセスを防げます。
設定するためには、「Basic 認証」と呼ばれる仕組みを利用します。
自分でサーバーを管理している場合には、以下の記事を参考に設定してみてください。
管理画面で使われる /wp-admin ディレクトリに Basic 認証を設定しましょう。
エックスサーバーを利用している場合は、Web 画面から簡単に有効化することができます。
エックスサーバーでBasic認証を設定する
エックスサーバーでは、WordPress 向けのアクセス制限が簡単に設定できます。
Xserver サーバーパネルにログインし「ホームページ」→「アクセス制限」を選択します。
wp-admin のアクセス制限を「ON」にすれば完了です。
WordPress の管理画面にパスワード認証を追加することができました。
次に、認証情報を登録するために「ユーザ設定」を開きます。
好きな ID とパスワードを入力し ユーザの追加 をクリックすれば登録完了です。
WordPress の管理画面にアクセスして動作を確認します。
元に戻す場合は、先ほど「ON」にしたアクセス制限を「OFF」に切り替えるだけです。
エックスサーバーの WAF でセキュリティ強化
エックスサーバーには、WAF (Web Application Firewall) の機能があります。
WAF とは、攻撃アクセスを検知して自動的にブロックする仕組みです。
全ての攻撃を防げるわけではありませんが、最低限の予防策として WAF が提供されています。
こちらも Xserver サーバーパネル から設定することができます。
「セキュリティ」→「WAF設定」を選択します。
必要に応じて個別に ON/OFF できますが、基本的にはすべてON で問題ありません。
SQL や Linux コマンドを掲載するサイトは OFF 推奨です。(投稿文が WAF に引っ掛かるため)
WAF を有効化すると、サイトで入力した文字列が検査されるようになります。
念のため、問い合わせフォームなどの動作確認をしておきましょう。
まとめ
WordPress のセキュリティ対策について紹介しました。
管理画面へのアクセス制限と WAF の有効化は、セキュリティ対策の第一歩です。
エックスサーバーではどちらも簡単に設定できるため、ぜひ有効化を検討してみてください。
【関連記事】
⇒ Xアクセラレータのメリット・デメリット
⇒ エックスサーバーの二段階認証を設定する
⇒ エックスサーバーに SSH ログインする
⇒ Web サイトのセキュリティ対策(不正アクセス防止)
⇒ nginx で User-Agent の制限を掛けて攻撃をブロックする