• 2015年4月2日

WordPressのセキュリティを高める3つの手順

WordPressのセキュリティを高める3つの手順

WordPressのセキュリティを高める3つの手順 700 433 パソコン生活サポート Pasonal

WordPressでの操作も慣れてきたころ、突然やってくるのが不正侵入です。近年では不正ログインのみならず、悪質なスパムも非常に多くなってきました。普段、セキュリティについてはあまり意識しないと思いますが、これを機会にセキュリティを高めてみてはどうでしょうか。

今回は、WordPressのセキュリティを高める3つの手順をご紹介します。

 

ユーザー名を複雑なものに変更する

WordPressの不正侵入でも最も多いのが、ブルートフォースアタックです。これは「総当たり攻撃」と呼ばれています。つまりは、ユーザー名とパスワードを手当たり次第に打ち込む「数打ちゃ当たる」戦法です。WordPressをインストールした時点では、ユーザー名は「admin」になっています。

そのままのユーザー名だと非常に危ないです。ユーザー名が「admin」となっている人は、以下の手順でユーザー名を変更しましょう。

 

新規ユーザーの作成

WordPress管理画面の「ユーザー > 新規追加」から、ユーザーを作成します。

  1. 最初に登録したものと別のメールアドレスが必要になります。
  2. ユーザー名に記号は使えません。
  3. パスワードは記号を含む12桁以上の、強固なものを用意しましょう。
  4. ユーザー名とパスワードは忘れないように管理しましょう。

ユーザー名とパスワードを変更

 

 

古いユーザーを削除

WordPress管理画面から「ユーザー > ユーザー一覧」を選択します。古いユーザー名の「削除」のリンクをクリックすると下記のような画面となります。「すべてのコンテンツを以下のユーザーのものにする」を選択し、削除を実行してください。

(※上記を選ばないと、今までのデータは引き継がれません。ご注意ください)

これで、完了となります。

古いユーザーを削除

 

パスワードを定期的に更新する

「WordPressを運用し始めてから、パスワードはずっとそのまま・・・」って人はいませんか?私はパスワードは、約1~2ヶ月ごとに変更しています。

これは非常に重要なことです。

1の「ユーザー名をadminから変更しよう!」でも記述しましたが、侵入がもっとも多いのがブルートフォースアタックです。ユーザー名を「admin」から変更するだけで、かなり侵入は減らせると思います。しかし、セキュリティを高めるためにもパスワードも強固なものを用意し、定期的に変更するようにしましょう。

  • パスワードは記号を含む12桁以上の、強固なものを用意しましょう。
  • パスワードを定期的に変更し、侵入の確立を少しでも防ぐこと。

 

ログイン画面からパスワードを変更する

下記の画像の一番下に「パスワードをお忘れですか?」の文字があります。これは本来、パスワードが分からなくなった時に、メールアドレス

パスワードの更新

 

管理画面からパスワードを変更する

管理画面左側メニューの「ユーザー > あなたのプロフィール」からパスワードを変更できます。確認のために2度打ち込む必要があります。

入力したら、保存ボタンで確定させましょう。

パスワードの変更

 

データベースのプレフィックスを変更する

WordPressはデータベースを使用して稼働しています。データベースには「テーブル」というものがあり、その中に「記事」「オプション設定」などの情報が格納されています。

例えばWordPressには以下のようなテーブルがあります

  • 「wp_comment」- コメントを格納
  • 「wp_post」- 投稿記事を格納

上記のように、初期の段階では「データベース」のテーブルの頭文字は「wp_○○○○」から始まっています。これをプレフィックス(接頭辞)といいます。しかしこのことは当然、悪意ある侵入者も分かっています。

そこで「wp_○○○○」のプレフィックスを「p08u76dk_○○○○」などのランダムな文字列に変更することで、セキュリティを少しでも高めることができます。

 

プレフィックスを変更する手順

プレフィックスを変更するためには、以下の手順を実行していきます。

  1. phpMyAdminに接続し、プレフィックスを変更する。
  2. WordPressのコアファイルである「wp-config.php」を編集する。

 

レンタルサーバーの会員画面にログイン

レンタルサーバーの会員画面にアクセスし、「phpMyAdmin」に接続します。

phpMyAdmin

 

phpMyAdminに接続

「phpMyAdmin」に接続するには「アクセス所有権ユーザー名」と「パスワード」が必要になります。もし分からなけば、会員管理画面のどこかの項目で分かるはずです。Xサーバーでは、「MySQL設定」という項目から確認できます。

使用しているデータベース名から「アクセス所有権ユーザー名」が分かります。ですが、パスワードだけは確認することができません。もし思い出せなければ、「MySQLユーザの一覧」から、パスワードを新しいのもに更新しましょう。

正しい「ユーザ名」「パスワード」であれば、phpMyAdminに接続できるはずです。

 

データベース名の確認

phpMyAdminでは、画面の左側にデータベース名が表示されています。データベース名は2つあると思います。一つは「information_schema」となっているはずです。

「information_schema」では無い方の「データベース名」をクリックします。

phpMyAdminに接続

 

個々のテーブルを表示

ツリー形式で表示されているTOPの名前が「データベース名」。その下にずら~っとぶら下がるように表示されているのが「テーブル名」です。テーブル名をクリックすると、テーブルに格納されている情報が表示されます。

上部に「操作」の項目があります。

「操作」からプレフィックスを変更

 

プレフィックスを変更

「操作」をクリックすると、下記のような「テーブルオプション」が表示されます。「変更後のテーブル名称」からプレフィックスを変更し、「実行ボタン」を押して確定します。

phpMyAdminのデータベース

 

プレフィックスが更新されない場合

もしプレフィックスが更新されない場合は、下記画像の更新ボタンを押してください。テーブル名が更新されるはずです。

プレフィックスの更新

 

wp-config.phpを編集する

「wp-config.php」にある67行目あたりの「$table_prefix  = ‘wp_’;」を上記で変更したプレフィックスに変更します。これで完了です。

wp-config.php

 

プレフィックスの変更でログインできないときの対処法

phpMyAdminのプレフィックスを変更すると、ログインできない場合があります。WordPressの管理画面で「このページにアクセスするための十分なアクセス権限がありません」のような表示が出た場合は、phpMyAdminにてさらに修正を行う必要があります。

その場合は、テーブルの中にある「フィールド」を修正する必要があります。基本的にはphpMyAdminのテーブルのプレフィックス変更と同じ操作になります。修正してからログインしてみましょう。

出典:http://ysklog.net/wordpress/2025.html

 

まとめ

以下はこの記事のまとめになります。

  • ユーザー名とパスワードを複雑なものにする。
  • ユーザー名に「admin」は絶対使わない。
  • パスワードに「password」は絶対使わない。
  • データベースのプレフィックスを変更する。
  • プレフィックスを変更したらwp-config.phpの記述も変更する。

他にもセキュリティを高める方法はいくつかありますが、まずは簡単にできることから実践していきましょう。少しでもセキュリティを高めることで、自身のサイトを外敵から守ることに繋がります。

あとは、サイトのバックアップデータを定期的にとることです。万が一に備えてバックアップデータを取得しておくことで、何かあった時に復旧させることができます。

取り急ぎ、今日はここまで。