WordPress

WordPressのセキュリティー対策

投稿日:2017年2月25日 更新日:

WordPressのセキュリティー対策にはクラッキングの第一候補に上がらないように、とりあえず今出来ることをやろうと思います。マイナーサイトもやられますよ! 自分は被害者なので警告します! 勝手にリンクを外部サイトにリダイレクトされました。

ただし、WordPressよりも、サーバーの管理画面に入られる場合の方が危険です。サーバーへのログインパスワードは複雑で長いものにしましょう。サーバーのパーミションの変更方法はこちら

*力を入れてセキュリティー対策をここに記載させて頂いておりますが、全ては自己責任でお願いします。また、たくさんの書物、サイトを参照させて頂いております。貴重な情報を与えてくださる全ての著者の方々に感謝いたします。

  1. 「.htaccess」ファイルにサブディレクトリを非表示(=アクセス禁止)にするコードを足す。「.htaccess」は隠れファイルなので、FTPソフトで見つけられます。開いて上でも下でも良いのでこう書き込みます。

    Options – Indexes

    サブディレクトリを公開してしまうと、クラッカーに目を付けられます。

  2. 「readme.html」を削除する。クラッカーはWordPressのバージョン情報を知りたいのです。バージョンで狙ってきますよ! このファイルは必要ありません。消しましょう。

  3. wp headタグからもバージョン情報を消す。
    テーマ編集で「functions.php」を開けてコードを書き込見ます。

    remove_action(‘wp_head’, ‘wp_generator’);

    サイトを閲覧する人誰でも「ソース」モードでヘッダーのバージョン情報が見れてしまいます。こんな感じです。<meta name=“generator” content=“WordPress 4.7.2” />
    でも、「functions.php」にコードを付け加えることで、ヘッダーからWordPressのx.xバージョンという記載が消えます。クラッカーは特定のバージョンを狙ってきますので消すのが一番です。

  4. 「wp-config」ファイルを開けてテーマ編集変更を不可能にする。一番下にというコードを足します。

    define(‘DISALLOW_FILE_EDIT’, TRUE);

    クラッカーはあたなと同じで、ログインして何でも変更できるのです。鍵を持っているのと同じです。自分がテーマの編集をしたいときは、消せば機能が戻ります。編集が終わったら、また、コードを戻しましょう。

  5. ユーザー名にニックネーム
    WordPressの管理画面で「ユーザー」から「ブログ上の名前」を別名に編集します。サイト管理者のユーザー名が公開されると、クラッカーにWordPressのログインユーザー名をそのまま教えることになります。あとはパスワードを破られたら終わり!

  6. 前の5で、ブログ上の名前を変えても、他の表示方法でユーザー名はバレます。なのでパスワードを暗号化するためのプラグイン「Chap Secure Login」も使います。

  7. サーバーの管理画面(コントロールパネル等)で「wp-config.php」のアクセス権を0644(全ての人が読める)から、0400(所有者だけが読める)に変更。このファイルにはWordPressで大事なデータ名、ユーザー名、パスワードが記載されています。ディフォルトの0644のままではクラッカーに「見てください」と言ってるようなもの! ダメです!

  8. 限られたIPでWordPress ログイン制限をかける。
    URL「……../admin」でWordPressにログイン画面に誰でも入れますが、これにIPアドレスで制限をかけます。「wp-login.php」ファイルのあるディレクトリの「.htaccess」にこう書き足します。00.00.00.00はIPアドレスを入れます。念のため、2つのIPアドレスがある場合を記載しました。1つの場合は「allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。

    <Files wp-login.php>
    order deny,allow
    Deny from all
    allow from 00.00.00.00 #IP address-1
    allow from 00.00.00.00 #IP address-2
    </Files>
  9. 9に続いて、Adminログイン制限をかける。
    「wp-admin」フォルダ内に「.htaccess」を新規作成して、書き込みます。IPが1つの場合は「Allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。

    Order deny,allow
    Deny from all
    Allow from 00.00.00.00 #IP address-1
    Allow from 00.00.00.00 #IP address-2
    <FilesMatch “(admin-ajax.php)$”>
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
  10. プラグイン「Acunetix WP Security」で「wp_」プレフィックスを変更するとより良い。

スポンサーリンク

-WordPress

関連記事

blog

自動でGoogleサイトマップ

SEO!! 昔(15年ぐらい前?)はマニュアルでSitemap.xmlを作成して、Googleに提出してたんですけど、もうそんな時代ではないのですね・・・ ***自動でGoogleサイトマップを作成し …

blog

500エラーでサイトが不能!

先日、htmlからWordPressで作り直したサブドメインのサイトに「500 Server error」が出て見れなくなってしまいました。 大ショック! 何も触ってないのに突然なった! サーバーのコ …

blog

投稿ページごとに違うサイドバーを表示

投稿ページごとや固定ページごとに違うサイドバーを表示 カテゴリーが沢山あって、一括でメニューを作成したら複雑になったので、カテゴリーAを選択したら、A関連だけのナビゲーションメニューをサイドバーに、カ …

blog

テーマStingerで外観を変更する

アフィリエイターに人気のあるテーマを「Stinger8」に再変更する方法です。 Stinger8はコチラのリンクページからダウンロードします。http://wp-fun.com/dl/ stinger …

blog

WordPressセキュリティ対策

WordPress 4.7以上のバージョンでちょっとしたセキュリティ対策が可能です。インストールの際に使ったWordPressのユーザー名と投稿者名が同じ場合、第三者にサイトを乗っ取られやすいくなりま …

Author Profile
こつこつインフォの筆者こつ子です。
いつも兀々やってます。
出版関係のグラフィックデザイナー。
趣味はWebsiteを作ること、ヨガ、犬と山歩き、フルーツ酒作り。
読んでくれてありがとう〜!
**ご意見はこちらへ**