WordPressで狙われやすい機能、スクリプトファイルは停止が良い
Wordpressで構築したサイトは、そのサイトの更新、運用が簡単になり、WEBの専門知識はあまり必要としません。
そのメリットが、Wordpressの人気の一つだと思います。
また、インストールや初期設定、そして運用が簡単な反面、おろそかにされがちなセキュリティのことをよく知っておかないと、ある日突然、サイトが書き換わっていたり、他のサイトへ誘導していたり、スパムメールを大量に送信したり、攻撃者(マルウェア感染)になってしまいます。
最低限のセキュリティは、サイト公開前に済ませておきたいところです。
Wordpressを運用しているサイトのアクセスログを見てみると、下記のファイルに外部から大量にアクセスがある場合があります。
運用が長いサイト、アクセスが多いサイト、ユーザー登録を許可しているサイトなど、サイトの規模にもよるところがありますが。
・xmlrpc.php
・wp-login.php
・wp-cron.php
これらのファイルは、そのままにしておくとセキュリティ的に問題が発生する場合があります。
アクセス制限をしてしっかりサイトを守りましょう。
対策としては、大体のアクセスは、海外からのIPアドレスなので、日本のIPアドレス以外はアクセス禁止にすれば良いと思います。
日本の他のサーバーがマルウェアに完成している場合は、日本のIPアドレスになっていると思うので
固定IPアドレスを持っている場合は、固定IPアドレスにした方が確実です。
また、ファイルにアクセス制限を行うことで、セキュリティ対策とサーバー負荷の低減効果も期待できるので設定しておいて損は無いでしょう。
上記ファイルの制限を行うことで、一部のプラグインが動作しない場合があります。その場合は、調整(一時的に解除、対象のIPアドレスを追加など)が必要になります。
.htaccess の設定例
許可する日本のIPリスト
1 2 3 4 5 6 7 |
<Files ~ "(xmlrpc|wp-login|wp-cron)\.php"> allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx </Files> |