体調不良のため長らくお休みしていました、過去をさかのぼって更新していきます。

WordPressのセキュリティ設定

[PR] 記事内には広告が含まれています。


最近はレンタルサーバの機能で自動インストールなどもでき、ますます親しみやすくなったWordpressですが、自動インストールのままではセキュリティが甘くハッキングの恐れもあります。

私が気をつけている点は以下です。
あくまでも自分のやり方ですので、ご参考までに。

パスワードは3つ

WordPressをインストールするとき、FTPのアカウント、データベースのアカウント、Wordpressの管理アカウントを3つつくりますが、それぞれ全て別のパスワードにします。

インストールディレクトリを別に作る。

ドメインをとったら通常は、ルートディレクトリ(トップのフォルダ)に入れることが多いかと思いますが、ファイルの位置を安易に推測されないようにするため、専用ディレクトリに入れるほうがいいかと思います。

また『/wp/』(WordPressの略)のフォルダに入れることも多いかと思いますが、これも推測されやすいので、簡単な名前でもいいので別に作ったほうがいいと思います。

インストールディレクトリを別にしても、ドメイン直下でWordpressを動作させることができます。
例)http:// example.com / ex / にインストールしても
 http:// example.com で表示される。

※この設定方法は別記事で。

1つのWordpressにデータベースは1つ

WordPressは、インストール時の設定で、データベーステーブルの接頭辞(wp_)を変更することによって、一つのデータベースに複数インストールすることができますが、安全上*、一つのWordpressは一つのデータベースにインストールしたほうが良いかと思います。
*1箇所ハッキングされたら全部見られてしまうことや、一つ壊れたら全滅することなどを防ぐため。

config.phpのパーミッションを404に

自動インストールだと、644や666などの危険な状態になっている場合があります。

画像に alt 属性が指定されていません。ファイル名: file-permisson.png

設定で404にします。

WordPressのパーミッション構成について詳細はこちら
– ファイルパーミッションの変更 – WordPress Codex 日本語版

install.phpを消す

インストールに使うファイルにアクセスされると、データベースなどが全て消滅する恐れがありますので、インストール後はすぐに消します。
/admin/の中にあります。

WordPressのユーザ名はadminにしない

ほとんどの方がadminにしているので、あとはパスワードを破られたら終わりになってしまいます。別の名前にしたほうがいいと思います。

・・・他にもあるかと思いますが、とりあえずここまで。