WordPressのセキュリティをアップする11のポイント

WordPressのセキュリティをアップする11のポイントをPro Blog Designのエントリーから紹介します。

11 Best Ways to Improve WordPress Security

  1. セキュアなデータベースを構築する。
    • 他のアプリケーションと共有しないWordPressのためだけのデータベースを使用する。
    • データベースへのアクセスは限定する。
    • データベースのパスワードは強固なものにする。
  2. 「wp-config.php」の設定。
    • セキュリティキーを設定する。
      セキュリティキーツール 1.1でランダムなキーが生成されます。
    • テーブル名の接頭辞($table_prefix)を「wp_」以外のものに変更する。
  3. 管理画面のユーザー名にデフォルトの「admin」を使用しない。
    ユーザー名はphpMyAdminなどで変更できます。
  4. 管理画面のパスワードは複雑なものにする。
    英数記号文字、小文字、大文字などを混ぜて作成します。
  5. SSLが可能な場合は、管理画面へのアクセスはSSL経由で行う。
    その場合は、「wp-config.php」に下記を記載します。

  1. 常に新しいバージョンのWordPressを使用する。
    バージョンアップの内容が機能面で必要ない場合でも、セキュリティの修正がされていることがあります。
  2. データベースはバックアップをする。
    セキュリティとは関係がないかもしれませんが、プラグインなどを利用して定期的にデータベースはバックアップします。
  3. ディレクトリにアクセスできないようにする。
    ディレクトリのルートに直接アクセスされないように「.htaccess」に下記の設定を行います。

  1. 「wp-admin」を保護する。
    「wp-admin」内のファイルは管理者しか使用しないので、アクセス制限をします。
    「.htaccess」で制限をする場合は「.htaccess」を「wp-admin」に設定し、IPの制限やパスワードの制限をします。

IPで制限

  1. 「wp-content」を保護する。
    「wp-content」内のファイルに一般ユーザーがアクセスするのは、使用しているテーマとプラグインだけのため、拡張子でアクセス制限をします。
    「.htaccess」を「wp-content」に設定し、アクセス可能な拡張子を指定します。

  1. WordPressのバージョンを表示しない。
    head内のWordPressのバージョンを表示させないためには、使用しているテーマファイルの「function.php」に下記を指定します。
    「function.php」無ければ、新しく作成します。

追記:
11番目の「function.php」を適用する際は、最初と最後に改行が入らないように注意してください。
つい末尾に改行を入れてしまったら、feedのxmlに空白行が入ってしまい、エラーになってしまいました。

top of page

©2017 coliss