はじめに
ウェブサイトのセキュリティは、サイト運営者にとって最重要な課題の一つです。特にWordPressを使用している場合、その広範で使いやすいプラグインやテーマの機能性ゆえに、多くの攻撃対象となっています。この記事では、WordPressサイトをより安全にするためのセキュリティトレーニングと設定手順について詳しく紹介します。
症状・背景
- ブログへの不正アクセスやハッキング被害が発生
- サイトの速度が急に遅くなった
- 管理画面で意図しない変更が行われている
- SEO順位が急落した
手順・設定方法
ステップ1: WordPressへのアクセス制限を設ける
# ホストのIPアドレスにSSHでログインします。
ssh user@yourserver.com
# /etc/hosts.denyファイルを開き、不必要なアクセスをブロックします。
vi /etc/hosts.deny
# 不正なIPアドレスや特定のユーザー名を指定してアクセスを拒否します。
ALL: 192.168.0.1ステップ2: ファイルとフォルダへのパーミッション設定
# WordPressディレクトリに移動します。
cd /var/www/html/wordpress
# wp-content/uploadsディレクトリの所有者を変更し、適切な権限を設定します。
chown -R www-data:www-data wp-content/uploads
chmod 750 wp-content/uploads/
# ディレクトリとファイルへのアクセス権を確認します。
ls -l wp-content/plugins/ステップ3: WordPressデータベースのセキュリティ強化
# MySQLに接続し、WordPressデータベースユーザーのパスワードを変更します。
mysql -u root -p
# データベースユーザーのパスワードを設定します。
UPDATE mysql.user SET plugin = 'sha256_password' WHERE User='wordpressuser';
FLUSH PRIVILEGES;
# 無効なデータベースユーザーを削除します。
DROP USER 'invalid_user'@'%';ステップ4: ファイアウォールの設定と監視
# UFW(Uncomplicated Firewall)を使って特定のポートをオープンにします。
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# 不審なアクセスを記録するため、SSHのログファイルを確認します。
tail -f /var/log/auth.log | grep sshd注意事項
- WordPressの最新版を使用し、定期的にセキュリティパッチを適用すること。
- 適切なバックアップシステムを整え、データの復元が可能であることを確認すること。
- リモートからSSH接続する際は、強力なパスワードやSSHキー認証を使用すること。
- 不明なIPアドレスからのアクセスや異常なログイン試行を監視し、直ちに対処すること。
まとめ
1. WordPressのアップデート: WordPressとプラグインを常に最新の状態に保つことで、セキュリティ上の脆弱性を防ぎます。
2. ファイル権限設定: 正しい所有者とグループが設けられ、適切なパーミッションが設定されていることを確認します。
3. データベースの管理: データベースユーザーのパスワードは定期的に変更し、無効なアカウントは削除します。
4. ファイアウォールの設定: 不正アクセスを防ぐための適切なファイアウォールルールを設定します。
5. 監視とレスポンス: 異常なアクセスやログイン試行を迅速に検知し、対忺措置を講じること。
関連記事: