本記事では、WordPressを安全に運用するためのセキュリティ設定を解説します。
■ なぜ必要か(重要)
WordPressは世界中から攻撃されます:
・ログイン総当たり攻撃
・管理画面への不正アクセス
・プラグインの脆弱性
👉 対策しないと短時間で攻撃されます
■ 注意(最重要)
設定を誤るとWordPressにログインできなくなります。
・バックアップを取る
・設定前に動作確認
■ ① 管理画面URL変更(重要)
デフォルト:
/wp-admin
👉 変更することで攻撃を減らす
■ プラグイン例
- WPS Hide Login
■ ② ログイン試行制限
👉 ブルートフォース対策
■ プラグイン例
- Limit Login Attempts Reloaded
■ ③ wp-config.php 強化(超重要)
sudo vi /var/www/example.com/wp-config.php
■ 編集内容
define('DISALLOW_FILE_EDIT', true);
👉 管理画面からのファイル編集禁止
■ ④ .htaccess制限(重要)
sudo vi /var/www/example.com/.htaccess
■ 管理画面制限(例)
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 192.168.1.100
</Files>
👉 管理IPのみ許可
■ ⑤ HTTPS強制(必須)
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
■ ⑥ ファイル権限設定(重要)
sudo chown -R www-data:www-data /var/www/example.com
sudo find /var/www/example.com -type d -exec chmod 755 {} \;
sudo find /var/www/example.com -type f -exec chmod 644 {} \;
👉 権限ミスは乗っ取り原因
■ ⑦ fail2ban連携(強い)
👉 ログイン攻撃を自動BAN
■ ⑧ プラグイン最小化
👉 不要なプラグインは削除
■ ⑨ XML-RPC無効化(重要)
<Files xmlrpc.php>
Require all denied
</Files>
👉 攻撃対象になりやすい
■ ⑩ バックアップ(必須)
・DBバックアップ
・ファイルバックアップ
■ よくあるトラブル
● ログインできない
→ .htaccess制限
● サイト表示されない
→ 権限設定ミス
● 管理画面が開かない
→ URL変更ミス
■ 本環境の構成
・Raspberry Pi 5
・Apache
・WordPress
・fail2ban + firewall
■ まとめ
👉 最低限の対策は必須
コメント