あなたのホームページのセキュリティは大丈夫ですか?
時々、WordPressのセキュリティがちゃんとされていないな~と思われるサイトを見るので、ちよっと書いてみました。
悪用しないでね!
wp-login で、ログイン画面が表示される
(ドメイン)/wp-login で、ログイン画面が表示されませんか?
wp-loginは、共通になっています。
たとえば、プラグインで、ログインのURLを変更するツールがありますが、それでログインURLを変更して、
wp-loginで、ログイン画面を表示させなくします。
たとえば、ドメインが officeueda.com の場合、officeueda.com/wp-login とURL入力して、ログイン画面が表示されてはいけません。
wp-admin で、ログイン画面が表示される
(ドメイン)/wp-admin で、ログイン画面が表示されませんか?
wp-adminは、共通になっています。
たとえば、プラグインで、ログインのURLを変更するツールがありますが、それでログインURLを変更しても、
wp-admin で入力すれば、ログイン画面は表示されてしまいます。
たとえば、ドメインが officeueda.com の場合、officeueda.com/wp-admin とURL入力して、ログイン画面が表示されてはいけません。
アクセス制限がされていますか?
WordPressの管理画面に入るまでに、WordPressのログインとは別に、アクセス制限(ベーシック認証)で、二重化していますか?
WordPressのバージョンが表示されていませんか?
WordPressのバージョンが表示されること自体は、セキュリティに大きく影響しませんが、ちゃんとメンテナンスをせずに、更新(バージョンアップ)をしないままで、古いバージョンのままだと、攻撃対象になることがあります。
WordPressのバージョンを表示しないようにすることと、定期的な更新を行うことが必要です。
PHPのバージョンが表示されていませんか?
PHPのバージョンが表示されること自体は、セキュリティに大きく影響しませんが、ちゃんとメンテナンスをせずに、更新(バージョンアップ)をしないままで、古いバージョンのままだと、攻撃対象になることがあります。
PHPのバージョンが古いままだと、WordPressの更新、プラグインの更新ができなくなり、そのことでセキュリティも貧弱になってしまいます。
PHPのバージョンを表示しないようにすることと、定期的な更新を行うことが必要です。
管理権限のあるアカウントのユーザー名が表示されませんか?
(ドメイン)のあとに、ある呪文を追加すると、ユーザー名が表示されます。
ユーザー名がわかれば、あとはパスワードさえわかればログインされてしまいます。
admin なんてユーザー名を使うことはもってのほかです。
ある呪文は、悪用されるといけないので、ここでは伏せておきますね。
パスワードを間違えた時のメッセージがデフォルトになっていませんか?
下記のように、「ユーザー名 *** のパスワードが間違っています。」これは、裏を返せば、ユーザー名は合っていると言っているのと同じです。
ユーザー名が合っているのか、間違っているのか、わからないようにメッセージを変更しましょう。
最低限、この7つの対策は行いたいところです。
もし、あなたのホームページのセキュリティに不安がありましたら、お気軽にお問い合わせください。
セキュリティに問題がないかのチェックは無料でおこなっております。
