サポート » 使い方全般 » ワードプレスのセキュリティについて

  • rekoker

    (@rekoker)


    非常にレベルが低いかもしれませんが、
    気になりましたので、質問させてください。

    純粋にワードプレスのセキュリティって
    どうなっているのでしょうか。

    いろいろと調べてみると、プラグインで強化するべきとか
    元々ワードプレスはセキュリティ対策がある程度出来ているから
    気にする必要が無いとか
    様々な意見があります。

    個人的には、yahooで「個人情報送信時の確認」というページが出るのが気になるところですが、

    ワードプレスのセキュリティについて
    ・しておくべきこと
    ・もともとワードプレスに備わっているセキュリティ
    など、

    セキュリティはどうするのがよいか、みなさんの意見を聞きたいです。
    よろしくお願いします。

    (どのようなサイトかによって、セキュリティは変わってくると思いますが、
     どのサイトのスタイルでは、どのようなセキュリティがよいのか、
     ということも書いていただけますと、うれしいです。)

    多くの方の意見をお願いしたいです。

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • nobita

    (@nobita)

    こんにちは、

    私は、セキュリティの専門家ではないですが、参考まで

    SSLによって送信情報が暗号化されていないサイトで、メールアドレス、クレジットカード番号、パスワードなどを送信する際には、送信前に以下のような確認画面が表示されます。

    http://help.yahoo.co.jp/toolbar/toolbar-76.html

    http接続で、パスワードを入力する場面で表示される警告のようですから、ワードプレスに何か問題があって警告を出している訳ではなさそうです

    ワードプレスは、https環境でも使えますが、http環境でもたくさん使われています。
    それほど気にする必要はないと思います。

    ワードプレスは、サーバーの環境の下で動作しているので、それらの設定で、ワードプレスが、危険にさらされるという事はあると思います

    エラーを表示しない設定になっているか?
    ファイルやホルダーのパーミッションの設定
    等、正しく設定されている必要があります

    ワードプレスはログイン機構が、リモートアクセスを受け入れるようになっていますので、ブルートフォース攻撃の対象になる場合がありますが、一定回数以上ログインに失敗したら、一定時間アクセスできなくするプラグインなどもありますので、試してみるといいと思います。

    パスワードは、ブルートフォース攻撃を受けても、突破されない 高強度のパスワードを作成する必要があります。

    gapel

    (@gapel)

    個人的には、yahooで「個人情報送信時の確認」というページが出るのが気になるところですが、

    これはWordPressサイトだから出るのではなく、SSL通信を導入していないで
    formタグによる通信がサーバになされるときに出ますので、WordPressにだけでなく
    どんなサイトにも当てはまる別問題だと思います。
    また、Yahooツールバー以上にブラウザからダイヤログボックスが出るケースが
    普及しています。Yahooツールバーのダイヤログはブラウザにツールバーを入れていないと
    出ないと思われます。

    SSL通信というのは、<form>タグを使って問い合わせや商品注文など、Webサイトを
    利用しているユーザから何らかの情報がサーバに送られる際に、暗号化してそのデータを
    安全に(完全ではない)送信させるもので、これらの<form>タグがあるWebページと、
    その先の送信確認ページや送信完了ページがあるならそれも含めた全体をSSL通信させて
    おくことが一般的です。

    SSL通信はページの遷移に時間がかかるので、サイト全体をSSL通信化させるケースは
    まだ少なく、上述の領域だけをSSL通信化させることが多いです。

    通常、URIというのはhttpから始まりますが、SSL通信したいページは
    httpsから始めるようにしなければSSL通信されません。
    また、SSL通信化させるには、SSLサーバ証明書を購入し、毎年費用を支払わないといけません。
    サーバへの設定も必要です。
    WordPressのセキュリティとは別問題なわけですが、<form>を使うページがSSL通信化
    されていませんと入力データが平文で送信されるため、第三者の傍受が可能ですから、
    SSL通信化するべきです。

    このように、Yahooツールバーに気付かされる内容というのは
    SSL通信が出来ていないということであり、それはWorodPressのせいではなく、
    SSL暗号化通信をおこなう環境にしていないというサーバ環境の問題なのです。

    トピック投稿者 rekoker

    (@rekoker)

    返信が遅くなってしまいまして、申し訳ありません。

    nobitaさん

    nobitaさんがおっしゃってくださいました内容をもとに、
    少しずつ検証していきたいと思います。

    1つ気になることがあるのですが、
    パーミッションの設定というのは、
    具体的には、権限の変更やIPによる制限などということを
    指しているということで大丈夫なのでしょうか。
    または、他のことを指しているのでしょうか。

    gapelさん

    yahooの件について、詳しく記載してくださり、ありがとうございました。
    SSLについては、質問の後にも自分でもう少し調べてみました。
    すると、サーバーやプラグインを検討する必要があるということが
    書かれているサイトが多かったので、
    gapelさんの意見を参考にしつつ、サーバーやプラグインを
    もう少し詳しく見ていきたいと思います。
    改めまして、ご回答ありがとうございました。

    nobita

    (@nobita)

    パーミッションの設定というのは、
    具体的には、権限の変更やIPによる制限などということを
    指しているということで大丈夫なのでしょうか。

    はい、その通りです。

    解りにくい事を言ってしまったようですが、お許しください

    トピック投稿者 rekoker

    (@rekoker)

    nobitaさん

    パーミッションについて調べてみると、
    「管理者」や「編集者」といった権限以外にも、
    パーミッションを606にする、
    といったような、数字でのコントロールというものがあるみたいですが、
    これと権限とは、なにか関係があるのでしょうか?

    nobita

    (@nobita)

    読むことができる (Readable) → r
    書くことができる (Writable) → w
    実行することができる (eXecutable) → x

    r=4, w=2,x=1 で書き換えたのが、数字で表現する権限です

    数字で、644と表現する場合や、rw-r–r– という風に、書き方は複数ありますので、詳しくは、

    http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%83%91%E3%83%BC%E3%83%9F%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3

    などで、概要を学ぶといいかも、

    トピック投稿者 rekoker

    (@rekoker)

    nobitaさん

    nobitaさんのリンクを読んで少しわかりましたが、
    まだまだ勉強不足を感じましたので、
    自分でもっと勉強してみたいと思います。

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • トピック「ワードプレスのセキュリティについて」には新たに返信することはできません。