最近はレンタルサーバの機能で自動インストールなどもでき、ますます親しみやすくなったWordpressですが、自動インストールのままではセキュリティが甘くハッキングの恐れもあります。
私が気をつけている点は以下です。
あくまでも自分のやり方ですので、ご参考までに。
パスワードは3つ
WordPressをインストールするとき、FTPのアカウント、データベースのアカウント、Wordpressの管理アカウントを3つつくりますが、それぞれ全て別のパスワードにします。
インストールディレクトリを別に作る。
ドメインをとったら通常は、ルートディレクトリ(トップのフォルダ)に入れることが多いかと思いますが、ファイルの位置を安易に推測されないようにするため、専用ディレクトリに入れるほうがいいかと思います。
また『/wp/』(WordPressの略)のフォルダに入れることも多いかと思いますが、これも推測されやすいので、簡単な名前でもいいので別に作ったほうがいいと思います。
インストールディレクトリを別にしても、ドメイン直下でWordpressを動作させることができます。
例)http:// example.com / ex / にインストールしても
http:// example.com で表示される。
※この設定方法は別記事で。
1つのWordpressにデータベースは1つ
WordPressは、インストール時の設定で、データベーステーブルの接頭辞(wp_)を変更することによって、一つのデータベースに複数インストールすることができますが、安全上*、一つのWordpressは一つのデータベースにインストールしたほうが良いかと思います。
*1箇所ハッキングされたら全部見られてしまうことや、一つ壊れたら全滅することなどを防ぐため。
config.phpのパーミッションを404に
自動インストールだと、644や666などの危険な状態になっている場合があります。
設定で404にします。
WordPressのパーミッション構成について詳細はこちら
– ファイルパーミッションの変更 – WordPress Codex 日本語版
install.phpを消す
インストールに使うファイルにアクセスされると、データベースなどが全て消滅する恐れがありますので、インストール後はすぐに消します。
/admin/の中にあります。
WordPressのユーザ名はadminにしない
ほとんどの方がadminにしているので、あとはパスワードを破られたら終わりになってしまいます。別の名前にしたほうがいいと思います。
・・・他にもあるかと思いますが、とりあえずここまで。
