設定の前に

現在、不正アクセスによるWordPressのウェブ改ざんが急増しています。

一度、サーバが不正アクセスを受けると、改ざんされたプログラムへさらにバックドアを仕掛けられる例が非常に多いため、対処としては必ずサーバ内部データをすべてリセットし、コンテンツを新たにアップロードしなおす必要があります。

ご契約中サーバが不正アクセスの被害にあわないよう、お客様にて事前にコンテンツを守るための対策を行っていただきますようお願いいたします。

本ページはWordPressを対象としていますが、WordPress以外の一般的な不正アクセス対策については「不正アクセス予防」と「不正アクセス ・ウイルスに感染」したらもご参照ください。

有効な対策

インターネットに接続しているすべてのパソコンは何らかの危険性が必ず存在します。
このため、「この項目だけを設定しておけば万事安心」といった対策はありませんが、「使わない機能は無効化する」、「容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける」、「WordPressを構成するファイルの配置を変更する」と言った複数の対策を組み合わせることで、攻撃者は容易に手出しができなくなるため、リスクを回避できる可能性は高まります。

1:常に最新のバージョンを使用する

WordPress本体、および、WordPressのダッシュボードからインストールしたテーマやプラグインは、[ダッシュボード] > [更新]から最新版へ更新可能です。
本番環境での更新が不安な場合は、サーバコントロールパネルの「バックアップ＆ステージング」からバックアップを取り、更新を実行してください。

2:自動更新を無効化しない

WordPressではデフォルトの状態で、下記を対象とした自動更新機能があります。
(マイナーリリースおよび翻訳ファイルのみ)

• コアファイル更新
• 翻訳ファイル更新

こちらは設定によって無効化可能ですが、基本的に有効のまま運用してください。

3:使わない機能は無効化する

ピンバック機能に使われる xmlrpc.php 等のファイルは、しばしば攻撃にさらされ、不正アクセスのリスクとなる場合があります。
このような不要な機能を無効化したり、有効化されないまま放置されているプラグインやテーマは削除する事で、 不正アクセスのリスクを低減させる事ができます。

4:容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける

すべてのパスワードにも言える事ですが、パスワードはできる限り推測されにくく、安易ではない文字列のパスワードを設定ください。

5:『All In One WP Security & Firewall(AIOWPS)』を使ってセキュリティを強化する

「さくらのレンタルサーバ」や「さくらのマネージドサーバ」の「クイックインストール」からインストールを行ったWordPressは、いくつかのプラグインをあらかじめインストールしていますが、そのうちのひとつである『All In One WP Security & Firewall(AIOWPS)』はセキュリティ強化に効果的です。
以下、『All In One WP Security & Firewall』の中でも比較的容易に導入可能な項目をご紹介します。

• プラグインを有効化する
• コメントスパムを防止する
• 管理画面への不正アクセスを防ぐ
• DDoS攻撃を防止する（Pingback機能を無効化する）

プラグインを有効化する

『All In One WP Security & Firewall』をはじめ、WordPressのプラグインを有効化するには、WordPressの管理画面(ダッシュボード)にログインしてください。

次に、左側に並んだメニューの「プラグイン」という項目をクリックしてください。

＜プラグイン＞の画面に変わりますと、『All In One WP Security』という項目がありますので、All In One WP Securityの文字のすぐ下にある「有効化」の文字をクリックしてください。

左側のメニューに「WP Security」の文字で項目が追加されます。
「WP Security」をクリックするか、マウスオーバーする事でAll In One WP Security内の各メニューにアクセスする事ができます。

コメントスパムを防止する

公開している内容と関係のない文字列がコメント欄に投稿され、ホームページへ大量に登録されてしまうことを、コメントスパムと呼びます。
コンテンツそのものへの影響はありませんが、1ページへの登録件数が万単位になると、サーバ負荷が高まり、自身だけではなく同サーバを利用しているユーザのコンテンツの表示も遅延することがあります。

参考）
お問い合わせフォーム（メールフォーム）の不正アクセスの増加と対処方法（さくらのナレッジ）

コメントスパムを防止するには、「スパム防止（SPAM Prevention）」のメニューを開きます。

【1】のチェックを入れる事で、コメント欄にcaptcha（応答者がコンピュータでないことを確認するための簡単なテスト）を入力するフォームを追加します。
スパムコメントの大半はボット(botと呼ばれる自動化されたプログラム)によって投稿されますが、これによりスパムコメントを抑制できます。
【2】のチェックを入れる事で、ドメインから発信されていないすべてのコメントリクエストをブロックします。
これにより、Wordpress側で自動的にロボットからの入力と思われるコメントをブロックし、人間によって入力されたコメントのみを受け付けるようになります。

管理画面への不正アクセスを防ぐ

WordPressのデフォルトのログインURLは、必ず末尾に wp-login.php が付くので推測されやすく、そのため、悪意の第三者に推測されやすいものとなります。
総当たり攻撃＜Brute Force＞ メニューの Rename Login Page Settings では、WordPressログインURLを任意のものに変更する事で、管理画面への不正アクセスを抑制します。

ログイン画面のURLを変更するためには、「総当たり攻撃（Brute Force）」のメニューを開きます。

【1】のチェックを入れると、【2】で指定したURLがWordPressのログインURLになります。
この場合、 「http://example.com/example」がWordPressのログインURLに変更されます。

DDoS攻撃を防止する（Pingback機能を無効化する）

●DoS攻撃とは

DoS攻撃（Denial of Service attack：サービス不能攻撃）は、古くから存在する攻撃手法です。
その目的は、文字通りにサービスを妨害したり、停止させたりすることにあります。

DoS攻撃にはさまざまな手法があり、そのうち、対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うことを「DDoS攻撃（Distributed Denial of Service attack／分散型サービス拒否攻撃）」と呼びます。

●Pingbackの悪用

WordPressには自身のホームページに対する言及を第三者のホームページ上で行われた場合、そのことを通知する「Pingback」という仕組みがあります。この仕組みをDDos攻撃に悪用されることがあります。
この仕組みを悪用されたとしても、自身のホームページを書き換えられることはありませんが、知らないうちにどこかのサーバへの攻撃に加担してしまう可能性があります。

Pingback機能は、Wordpressにおいて、初期状態で有効になっています。
ホームページの運営において必須とされる機能でなければ、無効化されることを推奨いたします。

Pingback機能を無効化するためには、「ファイアウォール（Firewall）」のメニューを開きます。

WordPress XMLPRCとピンバック脆弱性保護（WordPress XMLRPC & Pingback Vulnerability Protection）の「XML-RPCへのアクセスを完全にブロック（Completely Block Access To XMLRPC）」にチェックを入れ、無効化を行います。

6:Google Search Console（サーチコンソール）への登録

Google Search Console（サーチコンソール）は Google が無料で提供しているサイトのパフォーマンスを監視、管理できるサービスです。
サイトの改ざんやマルウェアへの感染をメールで通知してくれるサービスも提供されていますので、素早い被害の検知に役立ちます。

• Google Search Console

もしクラックされてしまったら（不正アクセスを受けてしまったら）

既に不正アクセスの被害にあっている・ウイルスに感染してしまっている場合は、被害拡大を防ぐため早急にご利用の環境とプログラムをご確認ください。

• ソフトウェアの更新
• お手元の端末（パソコン）のチェック

また、一度サーバが不正アクセスを受けてしまった場合、ご利用中のWordpressのみならず、サーバ内すべてのプログラムに影響を及ぼします。

不正アクセスを確認した場合は、必ずサーバ内部データをすべてリセットし、コンテンツを新たにアップロードしなおしてください。

• 「不正アクセス予防」と「不正アクセス ・ウイルスに感染」したら