WordPressは世界中で利用されています。利用者が多いために、テーマやプラグインが豊富にあったり、カスタマイズ情報が豊富にあったりします。一方で、攻撃者が、「利用者が多い」という理由でWordPressを標的とすることがあります。
セキュリティ対策を人に依頼する、という選択
もちろん、「自分でセキュリティ対策をする」というのも一つの方法です。それだけではありません。
「セキュリティ会社にチェックを依頼する」
「サイト制作をお願いしているウェブ制作会社にセキュリティも併せてお願いする」
という選択肢もあります。
今回は、「セキュリティ対策をサーバー会社に預ける」という選択肢を紹介します。
WordPress 専用サーバー
WordPress 専用クラウドサーバー Sova WPでは、WordPress用にセキュリティ強化をしています。
- リスクのあるPHP関数の制限
- 自動アップデート
- コメント・トラックバックを受け付けない
- XML-RPC を無効化
順にみていきましょう。
リスクのあるPHP関数の制限
PHPプログラムでは、様々な処理が実行できます。便利ではありますが、見方を変えれば危険な側面もあります。Sovaでは、exec、shell_exec、system、passthru、popen、stream_selectの6つの関数を、サーバー設定で無効にしています。(これらの関数以外にも危険なものはあります)
自動アップデート
セキュリティホールが見つかった場合、新しいバージョンが配布されます。もし、アップデートを行わなければ、脆弱性が残ったままとなります。Sovaでは、デフォルトでWordPress 本体、プラグイン、テーマを自動アップデートする設定になります。
コメント・トラックバックを受け付けない
ブログであればコメントやトラックバックは役立ちます。しかしコーポレートサイトなどでは不要かもしれません。不要な機能にはアクセスできなくするのが好ましいです。Sovaではネットワークレベルで遮断されます。
XML-RPC を無効化
スマホアプリなどから投稿する場合など、外部サービスと連携して投稿したい場合に、XML-RPC が役立ちます。しかしこの機能も、管理画面から記事を書くのであれば不要です。Sovaではネットワークレベルで遮断されます。
自分でセキュリティ対策しますか?
PHPの知識があれば、「リスクのあるPHP関数の制限」を自分で行うことができます。しかし、そのためには、PHPの設定ファイルがどこにあって、どう書くのか、を知らなければなりません。
WordPressに詳しければ、テーマやプラグインの自動アップデートを有効にすることができます。ただし管理画面には設定項目は無く、自分で設定ファイルを書き換えなければなりません。
VPSサーバーなどを契約すれば、「コメント・トラックバックを受け付けない」「XML-RPC を無効化」といった設定を行うことができます。しかし、そのためには、サーバーのフィルタリング設定の仕組みを知らなければなりません。
これらの対策を自分で行うのはかなり大変ではないでしょうか。WordPress 専用クラウドサーバー Sova WPを使うと、サーバーにこれらの対策が付属しています。このブログもSovaで運用しています。