簡単な作業でWordPressのセキュリティをアップするチップス

ブログツール「WordPress」のインストール時に、簡単な作業でセキュリティをアップするチップスをWP Engineerから紹介します。

Small Security Tipps

Small Security Tipps for your WordPress Install

以下、そのポイントを意訳したものです。

はじめに

WordPressの標準のインストールは非常に簡単で、WordPressの人気の要因の一つともいえます。しかしながら、インストールを行う際に少し手を加えることで、不正なアクセスをより難しいものにすることができます。

テーブルのプレフィックス

DBで使用するテーブルのプレフィックスを標準の「wp_」から異なる文字列に変更します。

設定方法

「wp-config.php」の「$table_prefix = 'wp_';」の「wp_」を変更します。

認証用ユニークキー

WordPressの安全性をアップするために、4つのセキュリティキーを設定します。

設定方法

「wp-config.php」内の「認証用ユニークキー」の説明に従って、設定を行います。
下記ページにアクセスし、表示された文字列を「wp-config.php」に記述します。
WordPress.org の秘密鍵サービス

ファイルとフォルダのパーミッション

ファイルとフォルダは適切にパーミッションを設定します。限定されたパーミッションは攻撃者がファイルやフォルダを変更するのを難しくします。

設定方法

WordPressの管理関連にはテキストファイル「robots.txt」を作成し「Disallow」と記述して、検索エンジンのロボットに見られないようにします。
また、フォルダのルートに「index.html」が無い場合は設置し、ファイルを一覧で見ることができないようにします。

wp-contentのリネーム

プラグインやテーマなど、WordPressの管理関連のファイルがある「wp-content」フォルダの名前を変更します。

設定方法

「wp-config.php」内に下記の記述をします。「test」は任意で変更してください。

セキュアなアクセス

バージョン2.6でバックエンドを安全に保つためにSSLのオプションが加えられました。これによりSSLでの接続が可能となり、バックエンドのデータは暗号化されます。

設定方法

「wp-config.php」内に下記の記述をします。

インストール済みの保全

既にWordPressを運用している場合、データベースをSQLで変更します。

変更方法

既存のテーブルのプレフィックスを変更します。

WordPressではテーブルのフィールドを識別するためにプレフィックスを使用している箇所があるため、フィールドもリネームします。

また、プラグインが参照している場合もあるので、DBを検索し、それぞれの値を変更します。

ユーザー名の変更

ユーザー名のデフォルトは「admin」となっています。このユーザー名は使用せずに、別のユーザー名を使用します。

変更方法

DBからユーザー名とIDを変更します。

バージョンを開示しない

WordPressのバージョンによってはバグがあり、それをむやみに攻撃者に知られないようにします。

変更方法

バージョン情報は管理者以外は必要ではないので、表示しないようにします。
プラグイン「Secure WP」を使用すると、全てのエリアから削除します。

エラーメッセージを消す

WordPressのエラーやインフォメーションのメッセージは有用なものが表示されますが、攻撃者にとっても有用なものになってしまうため、非表示にします。

変更方法

「wp-config.php」内に下記の記述をするか、削除します。
メッセージは開発時のみ有効にします。

.htaccessの設定

「.htaccess」でさまざまな設定を行い、安全性を強化します。

変更方法

ログインページ「wp-login.php」のアクセス時に、ベーシック認証を設定します。

「wp-config.php」のアクセスを保護します。

ファイルやフォルダのアクセスを保護します。

top of page

©2017 coliss