WordPressでホームページを作るには

【完全網羅】Word Pressの保守運用・セキュリティ59の対策一覧

投稿日:2020年1月29日 更新日:

Word Pressのセキュリティ対策の一覧と情報収集ソースを59ほどリストアップしました。自身のサイトのセキュリティ対策にご活用ください。

 

Web365とは

Web365は、外部Web担当者として、クライアントのWebサイトの集客力を高める施策を運用代行しています。

Web365について詳しく知りたい方は「Web365とは」ご覧ください。

 

今回のクライアントサイトの保守業務について詳しく知りたい方は下記をご覧ください。

【事例】Webサイトの保守運用を外注依頼すると何をしてくれるのか?

 

 

 

WordPressのセキュリティ診断方法

  • WPScans.com
    ウェブサイト上でWordPressのセキュリティ診断をしてくれる英語表記サービス
  • Wordfence Security
    プラグイン、ワンクリックで脆弱性の有無をチェックすることができます。
  • WPdoctor
    ウェブサイト上でWordPressのセキュリティ診断をしてくれる日本語対応サービス

セキュリティ対策

サイトURL対策 

  • 通信データを守るSSL

テーマやプラグインの選び方と編集

  • テーマやプラグインは公式から公開されているものを使う
  • むやみにテーマを編集しない

サーバーパスワード・ログインパスワードの徹底管理

  • 初期IDユーザー名は使わない
  • 複雑なIDユーザー名を利用する
  • 初期パスワードから変更する
  • 複雑なパスワードを利用する
  • パスワードは使い回ししない
  • パスワード管理ツールをつかう
  • 共有方法も2段階認証などセキュリティ度の高いツールを使う
  • 管理者権限のアカウントの数を最小限にする

テーマとプラグインは随時更新

  • マイナーアップデートは随時
  • メジャーアップデートは少し様子をみてから更新
  • 更新前にはバックアップをとる
  • 使用していないプラグインは削除する
  • wp-comments-post.phpへのアクセスを制限する
  • XML-RPCを無効にする
  • REST APIを無効にする

不正ログイン対策

  •  ログインURLの変更
  •  wp-login.phpへのBasic認証を設置する
  •  管理画面のIP制限
  •  管理画面内での操作を制限する
  •  認証用ユニークキーを設定する
  •  ログイン履歴を確認する

バージョン番号を非表示

  • Word Pressバージョンの外部閲覧時の非表示
  • CSSやJSのファイルデータ、プラグインのバージョンの外部閲覧時の非表示


当施策はバージョン更新が滞っている古い状態や脆弱性があるとされているバージョンを確認して攻められるリスクへのセキュリティ対応です。

下記は、WordPressのバージョン情報「ver=」非表示させるコードです。

 

function vc_remove_wp_ver_css_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'vc_remove_wp_ver_css_js', 9999 );
add_filter( 'script_loader_src', 'vc_remove_wp_ver_css_js', 9999 );

下記は、CSSやJSのバージョン情報「ver=」非表示させるコードです。

function remove_cssjs_ver2( $src ) {
if ( strpos( $src, 'ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_cssjs_ver2', 9999 );
add_filter( 'script_loader_src', 'remove_cssjs_ver2', 9999 );

設定ファイル、ディレクトリを守る

  • wp-config.phpへのアクセスを制限する

    wp-config.phpには、データベースへの接続情報などが含まれています。

    外部からアクセスを禁止することでデータベースの改ざん対策ができます。

    ただ、対応優先度は高くないです。実はアクセスしてもブラウザからはデータベースの情報は閲覧できないです。「やらないよりはやったほうがよい」程度の優先度で、時間に余裕があり、念の為に設定で良いです。


    対応方法は、wp-config.php のアクセスの設定を変更して、外部閲覧者からは403エラーが返る対応です。

    ただ、利用しているサーバーによっては、すでに403エラーが返されますのでアクセステストしてみてから対応で良いです。


    .htaccess ファイルの最後部に、以下のコードを追記してください。

    <files wp-config.php>

    order allow,deny

    deny from all

    </files>


    さらに余裕があれば、管理権原者のみアクセスできるようパーミッションを「400」(管理者のみ読み取りの権限)に変更しておきましょう。


  •  uploadsディレクトリでのphpの実行を制限する

    wp-content/uploads内の画像アップロード時に、画像ファイルの説明欄にマルウェアスクリプト等が仕込まれている画像のアップロードを阻止します。不正ログイン者によるアップロード、フリー画像に仕込まれていたアップロードのセキュリティ対策です。

    wp-content/uploads内に、以下の記述をした.htaccessを新規作成し、アップロードしてください。

    ※WordPress直下の.htaccessではないです。ここに追記すると、管理画面にログインできなくなります。


    # wp-content/uploadsでのPHPの実行を制限
    <files *.php>
    deny from all
    </Files>



  •  ディレクトリアクセス時のファイル一覧表示を無効にする

サーバー対策 

  • WAFのONに設定する

 

データベースのセキュリティ

  • データベーステーブル接頭辞の初期から変更
  • データベースのバックアップ

セキュリティ対策プラグイン

  • SiteGuard WP Plugin
  • All in one WP Security & Firewall
  • Wordfence Security - Firewall & Malware Scan
  • Backup Guard
  • IP Geo Block
  • Akismet
  • WP Security Audit Log

バックアップについて

バックアップすべきもの

  • データベースのバックアップ
  • テーマファイルのバックアップ
  • アップロード済みファイルのバックアップ

バックアップの取り方

  • FTPでファイルを全部ダウンロード
  • バックアッププラグイン
  • サーバーのバックアップ機能

バックアップを取ったら

  • テストサーバーで復元の練習
  • UpdraftPlusでのサイトの復元

セキュリティ情報収集のためのソース紹介

以上です。ご活用ください。

WordPressサイトのセキュリティ対応、具体事例記事です。

WordPressサイトでのスパムメールの保守対応方法

外注のWeb担当者、保守対応を検討している方は下記記事をご覧ください。

【事例】Webサイトの保守運用を外注依頼すると何をしてくれるのか?





Web制作+Webマーケティングの個別講座開講中

Web365はWeb担当者のスキルセットである
サイトを変更する「提案力」と「技術力」について個別指導しております

・Webで集客するための「考え方」を知りたい方
・サイトの制作改善のセオリーを知りたい方
・自身のサイトでケーススタディをしたい方
・サイトの制作改善の「技術的なスキル」を習得したい方
・分析から改善運用まで自身でしたい方
・Googleアナリティクスの設定、分析から改善施策の立案、レポート作成まで自身でしたい方

どうぞWeb365の「Webサイト制作、Webマーケティングの知識スキル習得するためのオーダーメイド個別講座」をご覧ください。





外注のWeb担当者として「制作」と「マーケティング」で単発/継続でサポートします。

Web365は貴社のWeb担当者として、制作改善運用をワンストップサポートしています

・成果にこだわるサイト制作改善をお望みの方
・自社にとって最適なweb制作会社、コンサル会社がいないとお困りの方
・分析から改善運用まで一括で依頼したい方


是非Web365までご相談ください。

【パートナー募集】
Web制作、Webコンサル、広告代理店、フリーランスの方々へのWeb改善プランの提供

Web365は同業他社/フリーランスの方々にも当方のWeb改善プランを提供し、クライアントサイトの改善プランのサポートや社内担当者へのレクチャーをサポートしています

・クライアントへのWebマーケティング、Web改善のプラン検討している方
・社内のWebマーケティングのリテラシーを高めたい方
・分析から改善運用まで一括でサポート依頼したい方

Web365は同業他社/フリーランスの方々にも当方のWeb改善プランを提供し、クライアントサイトの改善プランのサポートや社内担当者へのレクチャーをサポートしています

・クライアントへのWebマーケティング提案がしたいプラン作成をサポート
・クライアントへのWeb改善プラン実行のディレクションサポート
・社内のGoogleアナリティクスなどのレクチャー
・クライアントへのサイト分析から改善運用企画のアドバイザリーサポート
・Web系フリーランスへのWeb改善プランの提案企画書の作成サポート
・クライアントへのWeb広告運用代行
・クライアントへの計測ツール設定代行(Googleアナリティクス、eコマース、ヒートマップClarityなど)


まずは、お気軽にMTGでれきばと思いますので、Web365までご相談ください。

WordPressでホームページを作るには

執筆者:

関連記事

コピーライティングで悩んだときの15の考え方

自社の商材をPRする際に、どう表現していいか悩むこともあるかと思います。アイデアのたたき台として、コピーライティングで悩んだときの15の考え方を解説します。 Web365とは Web365は、外部We …

スマホページで最下部にお知らせなどを固定表示させる方法【コピペ対応】

­スマホでサイトを閲覧すると出てくる、最下部の案内を自サイトで表示させたいときの方法です。 クライアントサイトでのケース、WordPressのテーマOnepress使用の場合の方法を解説します。 We …

aタグカット、下層要素残し、jQueryでの方法

【コピペ】aタグだけをカットして、その下層の要素は残したいときのjQueryで対応方法

aタグだけをカットして、その下層の要素は残したいときのjQuerで対応方法です。 用途としては、 ・aタグが勝手に挿入されていたバグ などで取り急ぎ対応しました。 Web365とは 本題のまえに、自己 …

Web編集で文字が斜体にならないときの理由と2つの対応方法

Web編集で文字が斜体にならないときの理由と2つの対応方法です。 Web365とは Web365は、外部Web担当者として、クライアントのWebサイトの集客力を高める施策を運用代行しています。 今回は …

【コピペ】WordPress、FacebookのOGPをプラグインなしで作成する方法

【コピペ】WordPress、FacebookのOGPをプラグインなしで作成する方法

【コピペでできる、WordPressでの、FacebookのOGPをプラグインなしで作成する方法の解説です。 なぜ必要か? Facebookでリンクを貼ると、OGPというサムネイル、タイトル、概要など …

【初心者導入編】WordPressで会社企業のホームページを作るにはまとめ

会社企業でWordPressを使ってホームページを作成制作を検討してる方(初心者)に対しまして、導入編として、メリットデメリットと制作にあたる一連の流れを網羅的に解説しています。 WordPressで …

WordPressで「更新を失敗しました」と出たときの対応方法

WordPressの編集時に更新を押すと、「更新を失敗しました」と出たときの対応方法について解説します。 対応方法は検索すると色々出てきますが、主要な原因では、 WordPress新エディタ「Gute …

PREV
【コピペ】Googleスプレッドシートでアポ調整シートをつくりました
NEXT
SEO対策の記事を無料ツールを使って4ステップでつくる方法

2024/06/20

YouTube動画をAIで要約!会議運営マニュアルの作り方

2024/06/15

AIを活用した内部リンク戦略:効果的な記事選定の方法

Googleアナリティクス(GA4)のまとめて設定代行サービス

2023/08/12

トリプラ(tripla)でGoogleアナリティクス(GA4)、初めにしておきたい全設定、まとめて代行サービス

ルッカースタジオ/Looker studio 経営レポート作成コンサル

2023/03/23

ルッカースタジオ/Looker studioで経営レポート作成コンサル
-効率経営に向けたDX化の導入まで対応

eコマースのイメージ画像

2023/02/10

【解説】Googleアナリティクス、EC-CUBEのGA4設定方法(eコマーストラッキング対応)