PHP の実行とディレクトリの参照を無効にして WordPress のセキュリティを強化する

WordPress のファイルとディレクトリは、サイトを安全に保つ上で重要な役割を果たします。それらを適切に設定することは、WordPress をインストールした後の最優先事項の 1 つです。誰がどのファイルを表示できるか、およびユーザーが実行できるアクションについて適切な権限を設定すると、サイトのセキュリティ体制が大幅に改善されます。この投稿では、PHP の実行とディレクトリの参照の両方を無効にすることで、サイトのセキュリティを向上させる方法について説明します。

PHP の実行を無効にする:その理由と方法

アップロード、テーマ、プラグインなどの特定の WordPress フォルダーは、デフォルトで書き込み可能です。このタイプの許可により、ユーザーはサイトに画像や動画をアップロードできます。または、サイトにテーマとプラグインをインストールします。プラグインまたはテーマをインストールするたびに、新しいファイルがそれぞれのフォルダーに保存されます。 Theme および Plugins フォルダーが書き込み可能でない場合、これは不可能です。

多くの人が WordPress を使用してサイトを構築することを好む理由の 1 つは、テーマとプラグインを使用してサイトを簡単にカスタマイズできることです。テーマとプラグインのフォルダーはデフォルトで書き込み可能であるため、誰でも自分の Web サイトに任意のテーマまたはプラグインをインストールできます。 しかし残念なことに、この種のパーミッションは、フィッシング攻撃、SEO スパム、ブルート フォース攻撃などのハッキング攻撃の可能性も開きます。 ハッカーはこれを利用して、リモートで実行できる悪意のあるスクリプトをアップロードできます。これにより、彼らはあなたのサイトに完全にアクセスしたり、あなたのウェブサイトを破壊したりすることができます.

Mailpoet Hack では、ハッカーが悪意のある PHP コードを Upload フォルダーにアップロードし、それを実行してサイトを制御できるようにしたことを思い出すことができます。

書き込み許可を削除すると、画像をアップロードしたり、プラグインやテーマをサイトにインストールしたりすることさえできなくなるため、不便です. しかし、できることは、PHP の実行を無効にすることで、攻撃が成功する範囲を狭めることです。 特定のフォルダで実行する権限を削除します。

PHP の実行を無効にする簡単な方法は、PHP の実行を無効にする特定のフォルダーの .htacess ファイルに特別なコードを配置することです。

注: ファイルを変更する前に、サイトのバックアップを取ってください。これから説明する手順を 1 つ間違えると、サイトが壊れたり、他の問題が発生したりする可能性があります。バックアップにより、問題が発生したときにサイトの作業コピーにすばやく戻すことができます。

ステップ 1: Uploads フォルダーでの PHP の実行を無効にするには、Upload フォルダーに .htaccess ファイルを作成するだけです。このフォルダーは、public_html の下の wp-content にあります。

ステップ 2: メモ帳 (Windows の場合) または TextEdit (Mac の場合) を開いて、ファイルを作成します。次のコードを含め、このファイルを (.htaccess.txt ではなく) .htaccess として保存します:

# BEGIN WordPress
 
 <IfModule mod_rewrite.c>
 
 RewriteEngine On
 
 RewriteBase /
 
 RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
 
 RewriteCond %{REQUEST_FILENAME} !-d
 
 RewriteRule . /index.php [L] </IfModule>
 
 # END WordPress

ステップ 3: コードを保存し、アップロード フォルダーにファイルをアップロードします。

ステップ 4: これで、アップロード フォルダーに新しい .htaccess ファイルが作成されました。右クリックして [編集] を選択します。次のコードを新しい .htaccess ファイルに配置します。

<FilesMatch “\.(php|php\.)$”> 

Order Allow,Deny 

Deny from all 

</FilesMatch>

下の画像では、コードを .htaccess ファイルに配置しています。

これにより、「PHP」を含むすべてのファイルがキャッチされ、実行が防止されます。ハッカーが「mailciousPHPFileDisguisedAsJPEFfile.php.jpg」のようなファイルをアップロードできた場合、そのファイルの実行はブロックされます。

最大限のセキュリティを確保するために、プラグインとテーマ フォルダの .htaccess ファイルにもコードを追加できます。

PHP の実行を手動で無効にするのは少し危険です。 File Manager を慎重に操作する必要があります。 1 つのミスがサイトに重大な損害を与える可能性があります。プラグインを使用して PHP の実行を無効にする方が簡単で、リスクも低くなります。 MalCare Security Service には、ユーザーが PHP の実行をブロックできるサイト強化機能が付属しています。

この機能を有効にするには、FTP の詳細が必要です。

PHP の実行を無効にすると、サイトのセキュリティが強化されますが、さらに一歩進んで、ディレクトリの参照を無効にすることができます。

ディレクトリ ブラウジングをやめる:なぜ、どのように?

訪問者は、WordPress サイトを一覧表示するディレクトリを簡単に表示できる場合があります。たとえば、当社の Web サイト Westworld Fansite への訪問者は、ブラウザーで「https://westworldfansite.com/wp-includes/」を開くだけで、wp-includes フォルダーにリストされているファイルを表示できます。

無害に思えるかもしれませんが、ディレクトリのリストから機密情報が明らかになり、ハッカーがそれを悪用してサイトにアクセスできる可能性があります。したがって、リストを非表示にする必要があります。 あいまいさによるセキュリティは一般的に嫌われていますが、できるだけ多くの情報を隠すことが最善です。ハッカーがあなたのことを知れば知るほど、彼らがあなたを攻撃する可能性は低くなります。

サイトのセキュリティを強化するために、次のコードを .htaccess ファイルに配置して、ディレクトリの参照を無効にすることにしました。

.htaccess ファイルを変更する前に、必ずサイトのバックアップを作成してください。 1 つの間違いがサイトに大きな問題を引き起こす可能性があります。バックアップにより、問題が発生したときにサイトの作業コピーにすばやく戻すことができます。

ユーザーが閲覧できないようにするディレクトリの .htaccess ファイルを編集することを忘れないでください。たとえば、wp-include フォルダーを保護するには、wp-include フォルダーの .htaccess ファイルに次の行を追加します。

Options All –Indexes

コードを保存した後、ディレクトリ リストを表示しようとしたところ、403 エラー ページが表示されました。

おかえりなさい

PHP の実行とディレクトリの参照を無効にすると、Web サイトのセキュリティが確実に向上しますが、これは WordPress サイトをハッキングの試みから保護する多くの方法の 1 つにすぎません。他にも、セキュリティ プラグインの使用、SSL 証明書の使用、一意で強力なユーザー名とパスワードの使用、HTTP 認証と 2 要素認証の実装など、いくつかのセキュリティ対策を講じることができます。