banner-772x250

Barbwire Security

WordPressの堅牢度を高めるためのプラグインです。
本プラグインの公式ページはこちらです。

WordPressのセキュリティの現状

WordPressは非常によく使われているCMSであり、知名度もあります。
その仕組みもよく知られるようになり、同時に脆弱性もよく知られるようになってしまいました。

WordPressに脆弱性が発見されると、セキュリティメンテナンスリリースが配布され、アップデートされてきます。
これで最低限のセキュリティを確保することができます。
ですので、それらセキュリティメンテナンスリリースを全て適用することはWordPressを利用するうえで必須の作業です。

しかし、WordPress本体のアップデートだけではどうしても避けられない攻撃もあり、そういった攻撃に対処するためにこのプラグインがあります。

避けられない攻撃とは

WordPressに対して一番多いセキュリティ攻撃は、ブルートフォースアタックです。
ログイン画面に向かって全ての文字の組み合わせを順にユーザー名とパスワード欄に入れて、ログインを試みます。
この攻撃では、原理上は時間さえかければ必ずユーザー名とパスワードが漏洩してしまいます。
WordPressではこの攻撃の対象になるファイルが決まっています。
それはログイン画面とXML-RCPという機能に使われているファイルです。

このプラグインではログイン画面のURLを独自のものに変更することができ、且つ、XML-RCP機能を無効にすることで、WordPressを守ります。

プラグインの機能

上記がこのプラグインの主たる機能ですが、プラグインの全ての機能は以下のとおりです。

1.ログイン画面のURLにパラメータを付与し、ログイン画面への攻撃を防ぎます。

ブルートフォースアタックのような、あなたのサイトをクラックするためのログインの試行を避けることができます。
Adding any parameter to login URL so that login screen will hidden.
/wp-adminなどへのアクセスもログイン画面にリダイレクトされなくなります。

2.XML-RCP機能の一部を無効にし、この機能を利用したログインや改竄を防ぎます。

pingbackを無効化することで、他のサイトへのDDOS攻撃の踏み台にされることを防ぎます。

3.作成者アーカイブを表示しないようにし、ログインIDの漏洩を防ぎます。

作成者IDがセットされたURLからログインIDがセットされたURLにリダイレクトされることで、ログインIDが漏洩する可能性があります。
サイトURLに/?author=1を付加することで、ログインIDがURLに表れるかどうかを試すことができます。
単純に作成者アーカイブページを表示しないことで、ログインIDの漏洩を防ぎます。

4.REST API機能を無効にし、外部から攻撃を受けるリスクを低減します。

REST API機能は、ほとんどのユーザーには使われていない機能です。
もし利用している認識がないのなら、無効にしてみましょう。
2017年2月には、WordPress4.7.0、4.7.1に含まれるREST APIの脆弱性によって多くのサイトが改ざんされるという事象も発生しています。