セキュリティの問題
WordPressを使ってホームページを制作する場合、 セキュリティ上の問題がどこに問題があるかを指摘します。
1、
ログインページ変更:ログインページ名を変更します。
ログイン画面「(https://貴人のサイトのURL)/wp-login.php」は他人に絶対に見られてはならない画面です。 なぜならブルートフォースアタック(総当たり攻撃)による乗っ取りの対象になるからです。
ブルートフォースアタック(総当たり攻撃)については、以下のサイトをご覧ください。 https://cybersecurity-jp.com/column/17426
ログイン画面は何の対応もしていなければ、 デフォルト(初期設定)で、「(https://貴人のサイトのURL)/wp-login.php」とわかってしまいます。 悪意の第三者にとって攻撃の対象になります。
なので、 ログイン画面「(https://貴人のサイトのURL)/wp-login.php」を 任意の「(https://貴人のサイトのURL)/login_85139」等々に変更するのが通常です。
2、
ユーザー名漏えい防御:ユーザー名の漏えいを防ぎます。
コードを見れば、WordPressを使ったホームページとわかりますが、 デフォルトではWordPressのユーザー名は丸見えですので、 ログイン画面の「ユーザー名またはメールアドレス」「パスワード」の内 「ユーザー名」はすでに知られているので、 悪意の第三者にとって「パスワード」だけを調べれば いずれ管理画面を簡単に乗っ取られてしまいます。
対応策として、WordPressのユーザー名は丸見えの状態を、見えなくする必要があります。
3、
その他、以下のセキュリティにも対応しています。
(1)画像認証:ログインページ、コメント投稿に画像認証を追加します。
(2)ログイン詳細エラーメッセージの無効化:ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
(3)ログインロック:ログイン失敗を繰り返す接続元を一定期間ロックします。
(4)ログインアラート:ログインがあったことを、メールで通知します。
(5)フェールワンス:正しい入力を行っても、ログインを一回失敗します。
(6)XMLRPC防御:XMLRPCの悪用を防ぎます。
4、
セキュリティとは関係ありませんが、ホームページのスピードに関係あるので、これにも対応します。
リビジョンコントロールといって、過去の記録を取る機能がついていますが、この機能を削除する必要があります。 これをしないとホームページのスピードがどんどん遅くなります。