So-net無料ブログ作成

WordPressサイトのセキュリティ対策方法まとめ [WordPress]

hetemlを利用したWordPressサイトのセキュリティ対策についてまとめています。

詳しくはhetemlのサイト改ざんの予防策およびWordPressの安全性を高めるをご確認ください。

1. パーミッションを適切に設定する。

wp-config.php 400

パーミッションの値についておしえてください。

2. ログイン画面(http://URL.com/wp/wp-admin/)にBasic認証を設定する。

アクセス制限の設定方法

3. Pingback機能、コメント機能を利用しない。

WordPress > 設定 > ディスカッション > 投稿のデフォルト設定 から以下のチェックをはずして保存します。

・新しい記事に対し他のブログからの通知(ピンバック・トラックバック)を受け付ける
・新しい投稿へのコメントを許可する

WordPressの機能を悪用したDDoS攻撃対策のお願い

4. 「.htaccess」ファイルでアクセスを制限する。

wp-config.php
wp-comments-post.php(コメント機能を利用しない場合)
wp-includes

これらと同じ階層の「.htaccess」ファイルを編集します。WordPressの記述の前(上)に以下のコードを追記します。

<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files wp-comments-post.php>
order allow,deny
deny from all
</Files>

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# BEGIN WordPress
...

# END WordPress

5. WordPress本体、テーマ、プラグインは最新バージョンにする。

6. 公式のテーマ、プラグインを利用する。

WordPressの管理画面から検索してインストールできるテーマ、プラグインは公式ディレクトリに登録されています。セキュリティプラグイン、バックアッププラグインの導入をおすすめします。

7. 使用していないテーマ、プラグインは削除する。

8. WAFの設定を有効にする。

hetemlではWAFは「有効」が初期設定です。

WAFの設定方法

9. XML-RPCを無効にする。

hetemlではXML-RPCは「無効」が初期設定です。

WordPress で XML-RPC を有効化したい

10. SSHまたはSFTP/FTPSで接続する。

SSHのご利用方法
SSH ソフトの設定とコマンド

11. WordPressダッシュボードでファイル編集を無効にする。

wp-config.phpに以下のコードを追記します。

define('DISALLOW_FILE_EDIT', true);

12. 認証用ユニークキーを変更する。

認証用ユニークキーを変更するとWordPressにログインしているすべてのユーザーを強制的にログアウトさせることができます。

認証用ユニークキーの発行

以上、とても簡単にセキュリティ対策できました。

WordPressのセキュリティ 制作者向け基本ガイド
WordPressのセキュリティ対策でしておくべき11の項目
WordPressのセキュリティ対策!自分でできる対策方法まとめ
WordPressのセキュリティ対策・チェック方法まとめ
WordPressセキュリティ対策強化の基本
nice!(1)  コメント(0) 
共通テーマ:日記・雑感

nice! 1

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。