WordPressセキュリティ設定
「XServer for WordPress」では、WordPressサイトのセキュリティを強化する機能を多数ご用意しております。
お客様のご利用状況に応じて、各セキュリティ項目に対して細かな設定変更を行えるほか、当サービスが推奨するセキュリティ設定を自動適用する「セキュリティ自動最適化モード」もご利用いただけます。
セキュリティ自動最適化モードについて
「セキュリティ自動最適化モード」を有効にすると、推奨設定が自動で適用され、サイトを安全な状態に保ちます。
今後追加される新しいセキュリティ対策も自動で反映されるため、常に最新の防御環境でご利用いただけます。
「セキュリティ自動最適化モード」を有効にした際には、以下の設定が適用されます。
| 設定項目 | 内容 |
|---|---|
| 国外アクセス制限設定 |
以下の「国外アクセス制限設定」が有効になります。
詳細についてはこちらをご参照ください。 |
| CloudSecure WP Security |
セキュリティ対策プラグイン「CloudSecure WP Security」が有効化され、以下の設定が有効になります。
標準のログインURL https://ホスト名/wp-login.php 変更後のログインURL https://ホスト名/xxxxxxxx(ランダム英数字8桁) 詳細についてはこちらをご参照ください。 |
| PHP実行関数を無効化 |
以下のPHP実行関数が無効化されます。
exec / shell_exec / popen / proc_open / proc_close / proc_get_status / proc_terminate / proc_nice / posix_kill / symlink / getmypid / getpwuid / pcntl_signal / get_current_user / disk_total_space
詳細についてはこちらをご参照ください。 |
| その他のセキュリティ設定 |
以下の設定が有効になります。
詳細についてはこちらをご参照ください。 |
セキュリティ自動最適化モードの設定変更手順
1.「WPパネル」にログイン
WPパネルにログインします。
2.「サイト」をクリック
WPパネルのサイドメニュー内の「サイト」をクリックします。
3.対象サイトを選択し「設定」をクリック
サイト一覧の中から対象サイトをお選びいただき「設定」をクリックします。
4.「WordPressセキュリティ」から設定を変更
対象サイトの設定画面のサイドメニュー内の「WordPressセキュリティ」をクリックし、各項目の設定を変更します。
5.「セキュリティ自動最適化モード」から設定変更
「WordPressセキュリティ」内の「セキュリティ自動最適化モード」にて有効・無効の切り替えが可能です。
各セキュリティ設定の個別設定手順
各セキュリティ設定を個別に設定される場合は、以下の手順で設定を行ってください。
1.「WPパネル」にログイン
WPパネルにログインします。
2.「サイト」をクリック
WPパネルのサイドメニュー内の「サイト」をクリックします。
3.対象サイトを選択し「設定」をクリック
サイト一覧の中から対象サイトをお選びいただき「設定」をクリックします。
4.「WordPressセキュリティ」にアクセス
対象サイトの設定画面のサイドメニュー内の「WordPressセキュリティ」をクリックし、各項目の設定を変更します。
5.「個別設定」から設定変更
「WordPressセキュリティ」内の「個別設定」にて、各項目の設定変更を行ってください。
国外アクセス制限設定
本機能では、下記のようなWordPress機能への国外からのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぎ、WordPressサイトのセキュリティを向上させることができます。
- ダッシュボード アクセス制限
-
ダッシュボードに対する国外からの接続を制限します。
※通常は「ON(有効)」のまま運用されることを強く推奨します。
制限を解除する場合は個別にIPアドレス制限やBasic認証を行ってください。アクセスが制限される箇所
- /wp-admin … ダッシュボード のフォルダ
- /wp-login.php … ダッシュボード ログイン時にアクセスするファイル
設定OFF(無効)時の「REST API アクセス制限」との連動について
WordPress バージョン5.0以降では記事の投稿に「REST API」を使用するため、国外からWordPressを利用する場合、 「ダッシュボード アクセス制限」とともに「REST API アクセス制限」を「OFF(無効)」にする必要があります。
「ダッシュボード アクセス制限」を「OFF(無効)」に変更する場合、「REST API アクセス制限」も同時に「OFF(無効)」に変更します。 - XML-RPC API アクセス制限
-
スマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します
プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。※通常は「ON(有効)」のまま運用されることを強く推奨します。
※国外のサーバー等から「XML-RPC WordPress API」を利用される場合は「OFF」に設定するとともに、「Disable XML-RPC Pingback」などの、「XML-RPC WordPress API」への不正アクセス対策を行うプラグインを個別にインストールしてください。
アクセスが制限される箇所
- /xmlrpc.php … XML-RPC WordPress API (ファイル)
- REST API アクセス制限
-
「REST API」に対する国外からの接続を制限します。
プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。※通常は「ON(有効)」のまま運用されることを強く推奨します。
アクセスが制限される箇所
- /wp-json … REST APIアクセス時に含まれるURL
- wlwmanifest.xml アクセス制限
-
「Windows Live Writer」を利用して記事を作成・投稿するための情報が記述されている
「wlwmanifest.xml」ファイルに対する国外からの接続を制限します。※通常は「ON(有効)」のまま運用されることを強く推奨します。
※国外のサーバー等から「Windows Live Writer」を利用して記事を作成・投稿する場合は、
本機能を「OFF(無効)」に変更してください。アクセスが制限される箇所
- /wlwmanifest.xml … Windows Live Writer利用時にアクセスするファイル
CloudSecure WP Security
セキュリティ対策プラグイン「CloudSecure WP Security」による各種セキュリティ設定を行うことができます。
※本機能は「CloudSecure WP Security」プラグインが有効化されている場合のみ利用できます。
初期状態で「CloudSecure WP Security」プラグインが有効化され、以下の設定となっています。
| 設定項目 | 内容 |
|---|---|
| ログイン無効化 |
指定した期間内にログイン失敗回数が指定した回数に達した場合、指定した時間ログインを無効化(ブロック)します。 |
| ログインURL変更 |
ログインURL(wp-login.php)を変更します。 |
| ログインエラーメッセージ統一 |
ログインに関するエラーメッセージについて、ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示します。 |
| 2段階認証 |
ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。 |
| 画像認証追加 |
画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにする機能です。 |
| 管理画面アクセス制限 |
管理画面にログインしていない接続元IPアドレスから管理ページ(/wp-admin/以降)にアクセスすると、404エラー(Not Found)を返します。 |
| 設定ファイルアクセス防止 |
「wp-config.php」等の設定ファイルへのアクセスを検知すると、403エラー(Forbidden)を返します。 |
| ユーザー名漏えい防止 |
「?author=数字」でのアクセスによるユーザー名の漏えいを防止します。 |
| XML-RPC無効化 |
XML-RPC機能、またはピンバック機能を無効にし、XML-RPC経由での不正ログインを防ぎます。 |
| REST API 無効化 |
REST APIの悪用を防ぐため、機能自体を無効化します。 |
| シンプルWAF |
WordPressへの基本的な攻撃を検知すると403エラー(Forbidden)を返して検知履歴を記録し、管理者にメールで通知します。 |
PHP実行関数を無効化
exec() / shell_exec() などのPHP実行関数を無効化することで、セキュリティを強化できます。
以下のPHP実行関数を無効化することができます。
- exec
- shell_exec
- popen
- proc_open
- proc_close
- proc_get_status
- proc_terminate
- proc_nice
- posix_kill
- symlink
- getmypid
- getpwuid
- pcntl_signal
- get_current_user
- disk_total_space
その他のセキュリティ設定
- コメント・トラックバック制限設定(単一ユーザーからの大量投稿)
-
コメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。
制限は、6時間が経過した後、自動的に解除されます。 - コメント・トラックバック制限設定(国外からの投稿)
-
国外からのコメント投稿、またはトラックバックを制限します。
国外からのコメント・トラックバックを必要とされない場合は「ON(有効)」に設定変更することを推奨します。
※CloudFlare(クラウドフレア)等、外部サーバーを経由してアクセスされるようなサービスをご利用の場合も、経由するサーバーが本機能の制限に該当してしまう可能性があります。
その場合は、本マニュアルの設定手順に従って制限を解除してください。 - ログイン試行回数制限設定
-
本機能は、短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止することが出来ます。※アクセス制限は、制限されてから24時間後に解除されます。
- wp-config.phpを上位ディレクトリに配置
-
wp-config.phpをドキュメントルートの上位ディレクトリ(/home/ユーザー名/ホスト名/wp-config.php)に配置することで、セキュリティを向上させることができます。
- CGI/SSIの実行を制限
-
CGI/SSIの実行を制限することで、サイトの安全性を高めます。
.cgi / .pl / .py / .sh / .shtml / .shtm の実行が制限されます。 - wp-content/uploads内のスクリプト実行を制限
-
「wp-content/uploads」内にアップロードされたPHPファイルが実行されるのを防止し、サイトの安全性を高めます。
