wordpressセキュリティ対策について

ワードプレスでオリジナルテーマを制作しました。
これから記事の公開をしていくつもりなのですが
セキュリティについてどうしても不安なので質問させてください。

私のやった対策は下記の通りです。

・WordPressのバージョン情報を非表示にする
・初期のadminユーザーの削除
・パスワードは強固なものを使う
・管理者権限は１つのみ
・wp-config.phpへのアクセスを制限する600に設定
・コメント機能は使わないのでwp-comments-post.phpへのアクセス制限
・index ofの非表示に設定
・管理画面への初期設定のログインURLを変更
・SSL通信
・wordpressのバージョン情報を隠す
・サーバーはエックスサーバなのですが下記URLを参考にセキュリティの設定をしました。
http://pasonal.com/xserver-security-settings/
・初期設定のログインURLにアクセスしたユーザーのIPをブロック
・ログイン時にユーザー名にadmin,administrator,test,サイト名,サイト名-wordpressを入力したユーザーのIPをブロック
・セキュリティ対策のプラグインのインストール(Wordfence Security、SiteGuard WP Plugin)

サイトの公開前には
・テーブル接頭辞の初期設定の「wp_」以外のものに変更
・認証用ユニークキーを設定
・管理画面へのIP制限
を設定するつもりです。

他にもおすすめ設定などがありましたら教えてください。
よろしくおねがいします。

行動規範の内容に同意します

回答3件

いろいろやられていてセキュリティ意識が高そうだということはよく伝わってきますが、労力のわりに安全になっているのかというと疑問が残ります。

WordPressサイトに限りませんが、ウェブサイトに侵入する経路は二種類しかありません。

不正ログイン（パスワードを不正に使われる）
不正アクセス（ソフトウェアの脆弱性をついた攻撃）

このうち、不正ログインについては、「パスワードは強固なものを使う」が本質的な対策で、他はすべて副次的な対策と言えます。こちらは特に問題ないと思います。
以下は気になるところですが、

管理者権限は１つのみ

管理者が一人であればこれでよいのですが、管理者が複数いる場合は、管理者ごとにWordPressのアカウントを割り振るべきです。

また、不正アクセス対策についてですが、こちらは特に書いていませんが大丈夫でしょうか? 自動アップデートを無効化したりしていませんか?

特に問題になるのが、プラグインとテーマのアップデートです。また、テーマを自作されたということですが、テーマもPHPやJavaScriptのコードを書けるので脆弱性対策が必要です。
そして、WordPressサイトでもっとも多いのが、プラグインやテーマの脆弱性を悪用するケースなので、ここが肝心ということになります。

また、一般的にはPHP等の脆弱性対策も必要ですが、レンタルサーバーをお使いということなので、問題ないと思います。複数のPHPバージョンを選択できる場合は、もっとも新しいPHPを使うのが安全です。

投稿2018/10/09 01:03

ockeghem

総合スコア11701

MIA

2018/10/09 09:57

記事を書く人は３人いるのですが管理者の私が原稿をもらいアップロードまでやろうと思っています！ワードプレスの自動アップデートは無効にしています。自動でアップデートを行うべきでしょうか？正直テーマやプラグインの脆弱性をついての攻撃はちょっとどうしていいのかわからなくてプラグインは公式かつユーザーが多く評価の高いものを使用しています。丁寧にコメントありがとうございます！！

MIA

2018/10/09 10:09

テーマの脆弱性の対策は具体的にはどうしたらよいのでしょうか。。。

ockeghem

2018/10/09 13:39

WordPressの自動アップデートは有効にすることを強くおすすめします。毎日アップデートがないか確認することは現実的ではないでしょう? 日本時間の土日や夜間にアップデートがあり、その間に攻撃を受けるかもしれないですよ。 WordPressの標準機能で本体のアップデートはデフォルトで有効ですが、プラグインまではアップデートしてくれません。以下の記事を参考に、「自動アップデート用のプラグイン」を使えばいいのではないでしょうか? https://techacademy.jp/magazine/7815

ockeghem

2018/10/09 13:40

テーマにPHPやJavaScriptのコードを含まなければ大丈夫と思いますが、どうですか? コードを含むのであれば、勉強してくださいとしか言いようがないですね。インターネットに公開するコードを書くということは、そのような責任を伴うものなのです。

ichiun

2018/10/16 01:19

プラグインまで自動アップデートするかは慎重に判断すべきかと思います。他プラグインとの相性等で、アップデートによって逆に問題が発生するケースもありますので。私の場合はセキュリティプラグイン「Wordfence Security」を入れ、インストールしているプラグインに新バージョンがリリースされたら通知が来るようにして手動アップデートしています。

ockeghem

2018/10/16 01:37

確かにそうですが、そのへんは運用体制との兼ね合いなので、もう少し詳しく状況をうかがわないと最適な運用は答えられないですね

行動規範の内容に同意します

ベストアンサー

・複要素認証
・Google reCAPTCHAの導入
・xmlrpc.phpへのアクセス制限
他にも、ログインURLはデフォのままですが、wp-admin/css, wp-admin/images, wp-admin/admin-ajax.php以外のwp-admin領域とwp-loginへは特定のユーザーエージェントでなければアクセス出来ない設定にしてます。ブラウザ側にUA詐称拡張機能をいれてアクセスします。

投稿2018/10/09 00:19

dousojin

総合スコア754

MIA

2018/10/09 10:00

コメントありがとうございます！公開前に下記の点よく調べてからサイトへの導入を検討させてもらいます！・Google reCAPTCHAの導入・xmlrpc.phpへのアクセス制限・ブラウザ側にUA詐称拡張機能の導入質問なのですが、 wp-admin/css, wp-admin/images, wp-admin/admin-ajax.php以外のwp-admin領域とは具体的にはどのフォイルの事でしょうか？？

dousojin

2018/10/09 12:16

先ずは、公式ドキュメントをしっかり読みましょう WordPress の安全性を高めるhttps://wpdocs.osdn.jp/WordPress_%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B

行動規範の内容に同意します

かなりセキュリティに気を使われていますね！

私はJetpackプラグインを使用してプラグインの更新があった場合自動で更新されるようにしています。
設定はwordpress.comのサイト上でしかできませんが^^;

プラグインが古いまま放置の場合、それがセキュリティーホールになる危険もあるため、私は必ず自動更新するようにしています。

投稿2018/10/08 16:19