WP Security Scanの設定と使い方

先日、ロリポップのWordpressでハッキングの被害が出ました。
私のクライアントにも1名ロリポップでブログを使っている方が被害に合いました、どうにか無事に復元できたのですが、ユーザーでもWordpressのセキュリティを万全にしておく必要があります。
もし、被害にあったらこちらの解決法が役に立つかもしれません。

ハッキングなどの被害の解決法としては、いつ被害にあってもいいようにバックアップを取ることです。
バックアップを取るのはデータベースのデータです、これさえあれば復元できる可能性が高くなります。必ずWP-DBManagerを入れて定期的にデータベースのバックアップを取りましょう。

そして、被害に合わないようにWordpress自身のセキュリティ対策もしましょう、役に立つプラグインがWP Security Scanです。

クリックできる目次

インストール

ダッシュボードの左のメニューのプラグインの「新規追加」をクリックします。
検索窓に「WP Security Scan」と入力して検索ボタンをクリックします。
検索結果一覧が表示されますのでWP Security Scanの中の「今すぐインストール」をクリックします、「本当にインストールしますか?」と出ますのでOKをクリックします。
最後に有効化すればインストールは完了です。

設定と使い方

インストールが完了したら左のメニューに「WSD security」が追加されていますのでクリックします。
dashboard

下の画像が最初の画面です。
問題のある場合は赤い文字で表示されています。

setting-initial

  1. You have the latest version of WordPress.(最新のWordpressを使っているか)
  2. Your table prefix is not wp_.(Wordpressにインストールの時に決める接頭辞が「_wp」になっているか)
  3. Your WordPress version is successfully hidden.(Wordpressのバージョン情報が隠れているか)
  4. WordPress DB Errors turned off.(データベースのエラーが遮断されているか)
  5. WP ID META tag removed form WordPress core(WordpressのコアからWP ID METAタグが削除されているか)
  6. No user “admin”.(ユーザー名にadminをしようしているか)
  7. The file .htaccess does not exist in the wp-admin section. Read more why you should have a .htaccess file in the WP-admin area here.(wp-adminのフォルダに.htaccessファイルがあるか)

解説してみると

  1. 最新のWordpressを使うことがセキュリティ面でも大切です、Wordpressは脆弱性などが発見されると必ずバージョンアップされています。
  2. WordPressを初期設定のままインストールするとデータベースのテーブルの接頭辞が「wp_」になります、これを変えて下さい。
  3. WordPressのバージョンがわかると、そのバージョンの脆弱性を突いてハッキングされる可能性があります。
  4. WordPressのエラー情報からも脆弱性がわかります
  5. ちょっと不明ですが、WP Security Scanをインストールすると大丈夫なようです。
  6. ユーザー名にadminを使うのはセキュリティ面で良くありません。
  7. wp-adminフォルダにアクセス制限をかけるのですが、私の場合はスマートフォンなどから更新できるようにあえてここは無視しています。

次のメニューの「Scanner」を見ます。

setting-before

黄色で表示されているフォルダはパーミッションに問題があるのを知らせてくれています。
FTPソフトを使ってパーミッションを右に表示されている数字に変更しましょう。

ffftpでのパーミッションの変更方法です。

変更したいフォルダの上で右クリックするとメニューが表示されますので、「属性変更」をクリックします。
ftp1

小窓が開きますので「現在の属性」のブルーバックの数字を変更します、最後に「OK」ボタンをクリックすればパーミッションを変更できます。
ftp2

パーミッションが正常に変更されますと黄色い背景が消えています。
setting-after

次のメニューの「Database」です。
ここではデータベースのバックアップを取ったり、データベースのテーブルの接頭辞の変更ができます。
Wordpressをインストールする時に接頭辞をデフォルトの「wp_」にしている方はここで変更できます。
【重要】危険性をともなう作業なので接頭辞を変更する時は必ずデータベースのバックアップを取ってから行って下さい。

バックアップを取ります。
「Backup now」をクリックするだけです。
バックアップファイルの場所は「wp-content/plugins/wp-security-scan/backups/」にあります。
database-buckup1

バックアップが完了したらこんな画面に切り替わります。
バックアップファイルをダウンロードすることもできます。
database-buckup2

接頭辞の変更です。

画像の赤枠の部分が両方共YesになっていればOKです。
その下の水色の背景の部分には、

ルートにあるwp-config.phpが書き込み可能になっているのでセキュリティでの危険性があります。このスクリプトを実行したらwp-config.phpのパーミッションを644にして下さい。

と書かれていますが、私の場合は元々パーミッションが644だったので、おそらく変更しなくても大丈夫でしょう。
次に、Change the currentに続く枠に新しく設定する接頭辞を半角英数字で入力して、
最後に「Start Renaming」の青いボタンをクリックします。

database-prefix

しばらく待つと下の画面になります。
緑の背景で、

All tables have been successfully updated!
The wp-config file has been successfully updated!

と表示されていれば接頭辞が無事に変更できています。

database-prefix1

WordPressの安全性を高めるためにも、このプラグインは入れておきたいです。