この記事は、WordPressでブログを書いている人向けです。
2023年6月に自分のブログをWordPressにしてみて、今まで無事でしたが、なんか「攻撃」されていることに気付きました。デフォルト設定では乗っ取られたりする可能性も、少しはありそうな感じ。
僕のセキュリティ設定を晒すので、何もしてない人はぜひ参考にしてみて下さい。
※「2023年10月4日時点」であって、今後も変更すると思います。
Wordfence Security
何もしていない人は、とりあえず、Wordfence Securityプラグインを追加しましょう。
追記:ある特定の記事が存在するのに404エラーになるケースが5~10%くらい発生し、Wordfence Securityを無効化したところ、直ったように見えた・・・という事案が発生し、これを追記した時点(2023年10月10日)では無効化しています。
おそらくですが、Wordfence Securityのファイアウォールの誤動作だと思います(セキュリティソフトの誤検出みたいなものかなと)。海外サイトに『「学習」すると直る』みたいな話のログも残ってました。
※既にセキュリティのプラグインを使ってる人は、複数入れるのは干渉して良くない気がします。
プラグイン→新規追加→Wordfence Security
設定例
◆Wordfence ダッシュボード→全般設定
「WordPressのバージョンを隠す」にチェックを入れます。バージョンを公開したい理由がなければ、隠した方が良いと思います。
メールで通知する設定などはお好みで。
◆Wordfence ダッシュボード→ファイアウォールを管理
どこかに「20回くらいで良い」と書いてあったので、その通りに。あまり小さくすると自分がハマるとか・・・
レート制限は、「分あたり120」でも、普通に閲覧している人間が到達することはまずないらしいので、そうしておきました。
クリックしまくるテストもしてみましたが、管理者のIPアドレスでも弾かれるのか知らず、テストになってなかったかも。
ライブトラフィック
しばらく使ってみたところ、警告が出て、「ライブトラフィック」(Wordfence→ツール)に、何か表示されてました。
xmlrpc.phpという、WordPressのファイルが攻撃されたという警告です。
今までも知らない間に攻撃されてたのだろうと思います。
うちの難しいパスワードを破れるわけないと思うのですが、無数のサイトに対して無限に試行してたら、破れることもあるのでしょう。一度破られたら、不正アクセスされまくり。勝手に記事を改ざんされるかも知れないし、他所への攻撃への踏み台にされるなど、やりたい放題されるらしい。こわっ!
アクセス制限
WordPressのデフォルト設定では、攻撃対象になりがちなファイルにアクセスできてしまいます。
wp-login.phpは、執筆する人だけが見えれば良いので、自分以外はアクセス拒否しましょう。
やり方は .htaccess に以下のように書きます。
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from ???.???.???.???
</Files>
.htaccess が壊れると何も見れなくなったりするので、バックアップを取ってから編集しましょう。
???.???.???.??? には自分のIPアドレスを書きます。自分のIPアドレスは全部書いても良いし、自分のIPアドレスが変化する場合は「???.???.」みたいに書いたり、「.tokyo.ocn.ne.jp」みたいに書いても、何もしないよりはずっとマシ。
xmlrpc.phpも同じように自分だけアクセスできるようにしても良いし、僕の場合は自分がアクセスすることもなさそうなので、誰もアクセスできないようにしちゃいました。
<Files xmlrpc.php>
Order deny,Allow
Deny from All
</Files>
xmlrpc.phpは、「メールで投稿する」など、Wordpressを外部システムから操作するために必要な遠隔操作用のファイルらしくて、僕はそういうことをしないのでいらないはず。
以上、主にドラクエ10ブロガーのための、WordPressのセキュリティのお話でした。
あなたの大切なブログを守りましょう