WordPressはCMSの世界シェアNo.1ゆえに攻撃対象とされやすいのが実情です。
WordPressを単に設置しただけでは心もとないため、適切な対策が必要です。
なお、ここではクラウド版であるwordpress.comのWordPressは対象では無く、レンタルサーバー等にインストールしたWordPressを対象としています。
セキュリティプラグインをインストールする
手軽ゆえに真っ先にやっておきたい対策です。ただし、「とにかく沢山入れれば良い」というわけではありません。似たような機能があると、それらが競合して不具合を起こす可能性がありからです。
個人的にオススメなプラグインはSiteGuard WP Pluginです。
使い方の詳細については調べれば色々と出てきますので、ここでは割愛させて頂きますが、デフォルトでONになっていないもののONにすべき機能としてはXMLRPC無効化です。
これを無効化しておかないと、記事を不正投稿されたりすることがあります。
元々これは、外部からメール送信によって記事の投稿を行ったりする為にある機能なのですが、まあ殆どの人は使用しないでしょうし、無効化したからといってあまり影響はないはずです。
ファイルパーミッションを変更する
絶対に見られてはいけないファイルはパーミッション(属性)を所有者のみ読み取り専用(400)にすべきです。
例えば、wp-config.phpがそれにあたります。これにはデータベース接続情報が記載されており、プラグインの脆弱性を突いて、このファイルを読み取ろうとする攻撃が来たりします。
他には.htaccessも該当しますが、これについては正直どちらでも良いと思います。
なお、通常のphpファイルのパーミッションを400にすると、実行権限が無くエラーになるので、むやみに設定しないようにして下さい。(あくまで設定情報を記述したphpファイルのみが対象です)
WAFを有効にする
WAFとはウェブアプリケーションファイアーウォールのことで、ウェブサーバーに対して悪意あるリクエストを送信された際、それをブロックすることが出来ます。
ただし、100%防御出来る保証はないし、何てことない通常のリクエストが遮断されることによりウェブサイトが正常に動作しなくなるリスクもあります。(後者については、.htaccessで除外ルールを書くことにより対処出来ることもあります。)
レンタルサーバーがWAFを提供している場合、出来るだけ使用した方が良いでしょう。
