WordPressを安全に運営するための10のTips

WordPress

noupeのエントリー「Wordpress Security Tips and Hacks」から、WordPressを安全に運営するための10のTipsを紹介します。

WordPress Security Tips and Hacks

追記：

2008年2月20日: 9の「FilesMatch」の記述を修正しました。
併せて「FilesMatch」の関連リンクを追加しました。
タロタローグブログさん、ありがとうございました。

全てのユーザーにサーバー全部の検索を許可しない。
- 「search.php」で下記の検索コードは使用しない。
  <?php echo $_SERVER ['PHP_SELF']; ?>
  代わりに下記のコードを使用する。
```
<?php bloginfo ('home'); ?>
```
- 「wp-」がついているフォルダをサーチエンジンなどに登録されないように、「robots.txt」に下記を記述する。
```
Disallow: /wp-*
```
ディレクトリのファイル一覧を表示させない。
- ダミーの「index.html」を設置したり、.htaccessに下記を記述する。
```
Options -Indexes
```
metaにあるWordPressのバージョンは隠す。
- metaにWordPressのバージョンは、「header.php」にある下記によって表示されます。
```
<meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />
```
管理画面への不正アクセスを防御する。
- 管理画面へアクセス可能なIPアドレスを設定する。
  Protecting the WordPress wp-admin folder
  「.htaccess」への記述例
```
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<limit GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx(IPアドレス)
allow from xx.xx.xxx.xx(IPアドレス)
</limit>
```
- パスワードを暗号化して守るプラグイン。
  htaccess password protection
- ログインに失敗したIPアドレスを記録し、アクセス不能にするプラグイン。
  Login LockDown
プラグイン・ウィジェット・テーマ、WordPressのバージョンアップは、まめに行う。
- 配布サイトのRSSを登録するなどして、チェックする。
定期的に、サイトとデータベースのバックアップを行う。
- データベースのバックアップのプラグイン。
  WordPress Database Backup plugin
WordPressを最新のバージョンにする。
- WordPressのサーバーから最新版を使用しているサーバーに取得するプラグイン
  Instant Upgrade Plugin
- データベースのバックアップ、使用プラグインの記憶、メンテナンスモードなどに対応しているアップグレード用のプラグイン
  WordPress Automatic Upgrade plugin
FTPではなく、SSh/Shellを使用する。
ファイルの転送は暗号化した方が安全。
「wp-config.php」ファイルにデータベースのユーザー名やパスワードが記述してあるので、下記を「.htaccess」に記述するなどして守る。
※参考：FilesMatch 重要なファイルを隠す
```
<filesMatch　^wp-config.php$>
deny from all
</filesMatch>
```
パスワードは、強固なものにする。
設定したパスワードは、チェッカーなどを使用して調べる。
パスワードチェッカー