WordPressプランにおけるセキュリティ対策【WPH】

*セキュリティ対策として搭載されているもの

Fail2banによるSSH、およびWordPressパスワードアタック対策

サーバ開通時から頻繁に確認ができる攻撃として、SSHパスワードアタックがあります。SSHログを監視し、同一IPアドレスからの連続したログイン失敗を検知したら数分間アクセスを禁止するような設定となっております。WordPressの管理画面ログイン失敗に対して、同様に監視し、対策しています。
WordPressホスティングのFail2banについて教えてください【WPH】

Captchaによるログイン二重認証

sec_captcha機械的な管理画面へのパスワードアタックを防ぐため、ユーザ名(ID)、パスワード以外にも、認証のための手続きを加えるものです。WordPressホスティングではCaptchaというプラグインを採用しています。

WordPressホスティングのCaptchaプラグインとはどういうものですか【WPH】

WordPressデータベースにはランダム接頭辞

sec_prefix
ご注文時にドメイン名について伺い、ドメイン名、データベース、データベースユーザ、データベースの接頭辞は設定済みの状態で出荷いたしますが、接頭辞についてはランダムな文字列で設定させていただいております。「wp_」のような、知られすぎた接頭辞を使っていません。設定内容については「サービス開始のお知らせ」に確認方法を記載しております。

※ランダムな接頭辞を変更したい場合は以下をご参照ください。
WordPressプランのデータベースの接頭辞を変更したいのですが【WPH】

ファイルパーミッション設定

KUSANAGIの既定のいくつかのパーミッションを変更し、推奨されるパーミッション設定で設定しています。

※注意
ある一定の出荷時のサーバーについて「wp-config.php」のオーナーとグループが非推奨の状態になっているものがあります。
httpd:www wp-config.php
というオーナー、グループで出荷しているものがありますが、
kusanagi:kusanagi wp-config.php
が推奨となりますので適宜修正ください。

特定ファイルの閲覧を禁止

sec_403config
出荷時にはwp-config.phpやreadme.html xmlrpc.php などをウェブから閲覧することを禁止しています。

xmlrpc.phpについては一部のプラグインを利用の方は解放が必須となっています。設定変更の方法は以下をご参照ください。
xmlrcp.phpファイルへのアクセス許可を設定したいのですが【WPH

クラウド型WAFによる不正ウェブアクセス遮断

shadankun
サイバーセキュリティクラウド社よりクラウド型WAF「攻撃遮断くん」の技術提供を受け、弊社独自のWAF「Web Application Firewall」機能を標準提供(※)としております。
(※事前にお申込みが必要ですが1サイトまで追加費用はかかりません。2サイト目以降は1,620円/1サイトとなります)



クラウド型WAFは攻撃パターンを解析し、自動で遮断することで、DoS攻撃やSQLインジェクション等のサイバー攻撃からWordPressを守ります。

SSLサーバ証明書のご提供

1契約につき1枚、お申込みがあった方についてはJPRSのドメイン認証型SSLサーバ証明書をご提供します。
こちらは通常有償である証明書ですがWordPressホスティングのご契約が続く限り、更新させていただいます。
ドメイン認証型であるため、独自ドメインにてサービス運用されている方に限ります。
SSL証明書についてはWAFをご利用の方は必須となりますので、ぜひ併せてご利用ください。

*お客様にご対応を推奨させていただくセキュリティ対策

管理者ユーザ名には「admin」等を避けること

adminはもっとも狙われやすいユーザ名(ID)です。もし初回アクセス時はadmin等は避けた管理者ユーザ名を発行してください。もしユーザ名を変更したい場合は以下をご参照ください。
WordPressの管理者ユーザ名(ID)を別のユーザ名(ID)に変更したい【WPH】

ユーザの表示名はユーザ名と一致しないものを設定する

ブログが投稿された際、作者のユーザ名がそのままブログ記事に掲載されないよう、表示名については設定を調整いただきますようお願いいたします。
WordPressのユーザの表示名を切り替えたい【WPH】