こんにちは！ろあんぬ です。

世間ではコインチェックさんがハッキングされて580億円相当のNEMが奪われてしまった話でもちきりですね。

仮想通貨界隈では、「自衛しましょう！」という啓蒙ツイートで溢れています。

しかし！守るのは何も仮想通貨のお財布だけではないはずです！

WordPressでブログを運営されてる方、いっぱいいらっしゃいますよね？

そのブログ、自衛出来ていますか？

最低限抑えておきたい事項をまとめます。

1.ログインユーザー名・パスワードは強固か

この辺は特に仮想通貨をやってる方であれば問題ない人の方が多いですよね。

しかし、パスワードは強固でも、ユーザー名が「admin」のままだったりすると攻撃の対象になりやすいので、もしユーザー名がデフォルトのadminに設定されている方はユーザー名を変更された方が吉。割とadminのまま使用してる方は多いです。

WordPressはユーザーIDを後から変更出来ない仕様になっていますので、新しく管理者権限のユーザーを作成し、adminを削除するという流れになります。

2. WordPressとプラグインのバージョンは最新か

これはかなり重要ですので最新になってない方はすぐにアップデートすることをオススメします。WordPressは頻繁に脆弱性対策のアップデートを行っておりますので、最新になってないと脆弱性を持ったサイトを運営していることになってしまいます。

アップデートの際は、万が一失敗しても復元出来るように、必ずデータベースなどのバックアップを取得してから作業するようにしてください。

3. wp-config.phpは外部からアクセスされないようになっているか

上記ファイルがWordPressをインストールした直下にありますので探してください。こちらのファイルのパーミッションが「400」または「404」などに設定されているかご確認ください。（各レンタルサーバーによって推奨されている数値が異なりますので、サーバー会社の説明を読んでください。400推奨ですが、中には404でないとサイトが真っ白になってしまうケースもあります。）

さらに強固にする場合、.htaccessに下記を記述して、wp-config.phpが置いてある場所にアップします。
パーマリンクの変更や、サイトURLの階層を変更している場合など、すでに.htaccessが存在する場合はそのファイルに追記してください。上書きしてしまったり、書かれている記述を消してしまうとブログが真っ白！なんてことになりますので十分注意してください！

不安な方は、必ず.htaccessのバックアップをとってから作業を行ってください。

<files wp-config.php>
order allow,deny
deny from all
</files>

4. プラグイン「Akismet」を有効化しているか

こちらのプラグインはWordPressをインストールするともれなくセットでついてくるプラグインです。スパムコメントなどを防いでくれますので、有効化していて損はないと思います。（コメント欄のついたブログを運営してなくても、機械的に送りつけられているためか、どっから送ってきたの！？っていうスパムコメント通知が来ることが稀にあります。マジ迷惑。）

5. プラグインは精査して導入しているか

プラグイン、めっちゃ便利ですよね。わかります。

でも、WordPressではなくプラグインの脆弱性をついた攻撃などもありますので、セキュリティ的にはなるべく使用するプラグインは最小限にすることを強くオススメいたします。

また、プラグインの制作者がすでにアップデートを行っていなかったりするプラグインについては、なるべく導入を控えた方が賢明です。今動いていても、今後のアップデートで動かなくなるリスクや、脆弱性をほったらかし…という可能性があります。

そして、「有効化してないプラグイン」がそのままになってる方は、そのプラグインの削除処理をおこなった方がGOOD！です。（一時的に停止しているだけなど使うものに関しては一々削除しなくても大丈夫）

 

以上、最低限上記の5つはチェックしておきたいところです。

もっとキツく制限しようと思えば色々ありますが……

企業サイトの運営と違って個人ブロガーさんは色んな場所から更新したりする可能性が高いことを考えると、なかなか難しいかなと思ったり……。

自宅からしか管理画面にアクセスしないとか、競合するプラグインがないとか、特にデメリットが思いつかない方は管理画面のIP制限もオススメ！

現場からは以上です！