セキュリティの問題

WordPressを使ってホームページを制作する場合、 セキュリティ上の問題がどこに問題があるかを指摘します。

１、
ログインページ変更：ログインページ名を変更します。

ログイン画面「（https://貴人のサイトのURL）/wp-login.php」は他人に絶対に見られてはならない画面です。 なぜならブルートフォースアタック（総当たり攻撃）による乗っ取りの対象になるからです。

ブルートフォースアタック（総当たり攻撃）については、以下のサイトをご覧ください。 https://cybersecurity-jp.com/column/17426

ログイン画面は何の対応もしていなければ、 デフォルト（初期設定）で、「（https://貴人のサイトのURL）/wp-login.php」とわかってしまいます。 悪意の第三者にとって攻撃の対象になります。

なので、 ログイン画面「（https://貴人のサイトのURL）/wp-login.php」を 任意の「（https://貴人のサイトのURL）/login_85139」等々に変更するのが通常です。

２、
ユーザー名漏えい防御：ユーザー名の漏えいを防ぎます。

コードを見れば、WordPressを使ったホームページとわかりますが、 デフォルトではWordPressのユーザー名は丸見えですので、 ログイン画面の「ユーザー名またはメールアドレス」「パスワード」の内 「ユーザー名」はすでに知られているので、 悪意の第三者にとって「パスワード」だけを調べれば いずれ管理画面を簡単に乗っ取られてしまいます。

対応策として、WordPressのユーザー名は丸見えの状態を、見えなくする必要があります。

３、
その他、以下のセキュリティにも対応しています。

（１）画像認証：ログインページ、コメント投稿に画像認証を追加します。

（２）ログイン詳細エラーメッセージの無効化：ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。

（３）ログインロック：ログイン失敗を繰り返す接続元を一定期間ロックします。

（４）ログインアラート：ログインがあったことを、メールで通知します。

（５）フェールワンス：正しい入力を行っても、ログインを一回失敗します。

（６）XMLRPC防御：XMLRPCの悪用を防ぎます。

４、
セキュリティとは関係ありませんが、ホームページのスピードに関係あるので、これにも対応します。

リビジョンコントロールといって、過去の記録を取る機能がついていますが、この機能を削除する必要があります。 これをしないとホームページのスピードがどんどん遅くなります。