WordPressは多くのサイトに利用されているため、セキュリティ対策が欠かせません。また、ウェブサイトを閲覧者に快適に利用してもらうため、表示速度の改善も重要です。WordPress保守管理ではセキュリティ強化とパフォーマンス改善のため、以下を行いました。
目次
セキュリティ関連
各種システムファイルの非表示
WordPressを構成するファイルの一つであるreadme.html(Ver4.6以前ではWordPressバージョン情報が表示されていました)や、WordPressプラグインに必須であるreadme.txtへのアクセスを許可しないように設定しました。
uploadsディレクトリ内でのPHPの実行を無効
メディアから画像等をアップロードされると保存されるuploadsディレクトリ内でのPHPの実行を無効にしました。通常の利用においては問題有りませんが、悪意のあるphpをアップロードされた場合にブロックします。
コメントスパムを削減
コメントスパム削減のため、リファラを持たない、またはユーザーエージェントが特定されていないボットからのコメントを拒否します。
XML-RPCを無効化
WordPressのXML-RPC機能は、外部サービスがサイト上のコンテンツにアクセスしたり、変更したりすることを可能にする便利な機能で、例えばJetpackプラグインやWordPressモバイルアプリ等で利用されています。しかし、XML-RPCは今後WP REST APIの登場により使われなくなっていくことが予想されます。
XML-RPC機能を利用した攻撃を防ぐことができるため、XML-RPC機能を利用していない場合は無効にします。
ログインエラー時のメッセージを非表示
WordPressはログインに失敗したときに親切にもヒントを表示してくれますが、セキュリティ上は表示されないほうが好ましいため、ログインに失敗したとしてもエラーメッセージが表示されないようにします。
ログイン時のユーザー名を無効にしメールアドレスのみ有効にする
通常WordPressはログイン時に「ユーザー名 または メールアドレス」と「パスワード」のログイン情報を必要とします。しかし、ユーザー名は画面上から見えてしまうこともあり、そうするとログインに必要な2つのうち1つがわかってしまっている状態です。そのため基本的に、ユーザー名は使用せずに、メールアドレスを利用したログインに変更します。運用上難しい場合は別途ご相談ください。
管理者のみユーザーログを表示
管理者権限において、各ユーザーのログインやプラグインのアップデート履歴といった各種ログを閲覧できます。
パフォーマンス関連
モバイル専用のキャッシュファイルの生成
パフォーマンス向上のため、モバイル専用のコンテンツの読み込みなどがある場合、デスクトップ用とは別にモバイル用のキャッシュファイルを生成します。
スパムコメントの削除
データベース軽量化のため、スパムコメントを削除します。また、cronが有効の場合定期的に削除します。
効率的な画像の圧縮
通常の画像圧縮よりも高い圧縮により、画像サイズを小さくします。(目安として、オリジナル画像の約50%程度まで)
圧縮しても元画像を維持
メディアにアップロードした画像は基本的に圧縮され、ウェブサイトには圧縮された画像が利用されますが、他の用途に利用できるようオリジナルの画像をサーバーに保存します。
まとめ
今回はセキュリティ強化を中心にサービス改善を行いました。WordPressは記事執筆現在でも圧倒的に利用されているCMSです。そのため、セキュリティリスクも多くあり、企業コーポレートサイトやビジネス目的のサイトは対策が必須です。
- 制作会社にサイトは作ってもらったが、社内でWordPressの保守や管理ができない
- 付き合いのある制作業者がいるのでサイト制作はそちらに依頼するが保守管理は対応していないため、セキュリティ対策だけ行ってほしい
- 収益のある個人ブログに対して、不具合や度々あるアップデート作業に時間を取られている。安心なWordPressの運用を任せたい
といったような場合はWordPress保守管理をご検討ください。