WordPress

WordPressのセキュリティー対策

投稿日:2017年2月25日 更新日:

WordPressのセキュリティー対策にはクラッキングの第一候補に上がらないように、とりあえず今出来ることをやろうと思います。マイナーサイトもやられますよ! 自分は被害者なので警告します! 勝手にリンクを外部サイトにリダイレクトされました。

ただし、WordPressよりも、サーバーの管理画面に入られる場合の方が危険です。サーバーへのログインパスワードは複雑で長いものにしましょう。サーバーのパーミションの変更方法はこちら

*力を入れてセキュリティー対策をここに記載させて頂いておりますが、全ては自己責任でお願いします。また、たくさんの書物、サイトを参照させて頂いております。貴重な情報を与えてくださる全ての著者の方々に感謝いたします。

  1. 「.htaccess」ファイルにサブディレクトリを非表示(=アクセス禁止)にするコードを足す。「.htaccess」は隠れファイルなので、FTPソフトで見つけられます。開いて上でも下でも良いのでこう書き込みます。

    Options – Indexes

    サブディレクトリを公開してしまうと、クラッカーに目を付けられます。

  2. 「readme.html」を削除する。クラッカーはWordPressのバージョン情報を知りたいのです。バージョンで狙ってきますよ! このファイルは必要ありません。消しましょう。

  3. wp headタグからもバージョン情報を消す。
    テーマ編集で「functions.php」を開けてコードを書き込見ます。

    remove_action(‘wp_head’, ‘wp_generator’);

    サイトを閲覧する人誰でも「ソース」モードでヘッダーのバージョン情報が見れてしまいます。こんな感じです。<meta name=“generator” content=“WordPress 4.7.2” />
    でも、「functions.php」にコードを付け加えることで、ヘッダーからWordPressのx.xバージョンという記載が消えます。クラッカーは特定のバージョンを狙ってきますので消すのが一番です。

  4. 「wp-config」ファイルを開けてテーマ編集変更を不可能にする。一番下にというコードを足します。

    define(‘DISALLOW_FILE_EDIT’, TRUE);

    クラッカーはあたなと同じで、ログインして何でも変更できるのです。鍵を持っているのと同じです。自分がテーマの編集をしたいときは、消せば機能が戻ります。編集が終わったら、また、コードを戻しましょう。

  5. ユーザー名にニックネーム
    WordPressの管理画面で「ユーザー」から「ブログ上の名前」を別名に編集します。サイト管理者のユーザー名が公開されると、クラッカーにWordPressのログインユーザー名をそのまま教えることになります。あとはパスワードを破られたら終わり!

  6. 前の5で、ブログ上の名前を変えても、他の表示方法でユーザー名はバレます。なのでパスワードを暗号化するためのプラグイン「Chap Secure Login」も使います。

  7. サーバーの管理画面(コントロールパネル等)で「wp-config.php」のアクセス権を0644(全ての人が読める)から、0400(所有者だけが読める)に変更。このファイルにはWordPressで大事なデータ名、ユーザー名、パスワードが記載されています。ディフォルトの0644のままではクラッカーに「見てください」と言ってるようなもの! ダメです!

  8. 限られたIPでWordPress ログイン制限をかける。
    URL「……../admin」でWordPressにログイン画面に誰でも入れますが、これにIPアドレスで制限をかけます。「wp-login.php」ファイルのあるディレクトリの「.htaccess」にこう書き足します。00.00.00.00はIPアドレスを入れます。念のため、2つのIPアドレスがある場合を記載しました。1つの場合は「allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。

    <Files wp-login.php>
    order deny,allow
    Deny from all
    allow from 00.00.00.00 #IP address-1
    allow from 00.00.00.00 #IP address-2
    </Files>
  9. 9に続いて、Adminログイン制限をかける。
    「wp-admin」フォルダ内に「.htaccess」を新規作成して、書き込みます。IPが1つの場合は「Allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。

    Order deny,allow
    Deny from all
    Allow from 00.00.00.00 #IP address-1
    Allow from 00.00.00.00 #IP address-2
    <FilesMatch “(admin-ajax.php)$”>
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
  10. プラグイン「Acunetix WP Security」で「wp_」プレフィックスを変更するとより良い。

スポンサーリンク

-WordPress

関連記事

blog

パーマリンクの設定

WordPressで最初の投稿を試みると、困った事に日本語タイトルを付けるとリンク先が日本語になってしましました。「パーマリンク: http://…../はじめに」。これではURLをコピペ …

blog

ヘッダーにメニューを加える方法

WordPressではヘッダーに横長のメニューを割と簡単に加えることが出来ます。ちょっと機械的な作業っぽいですが、6つのステップを試してみてください。 *テーマによって、ヘッダーのデザインは多少異なり …

blog

サイトをWordPressで作り替える

Htmlで作った古いサイトありますね。 もう10年とか。作り替えるとなる考える点は2つ。 WordPressの新サイトが完成するまで既存のサイトは停止したくない! 作成途中のWordPressの新サイ …

blog

スマホ表示の幅を修正する

なんて、アホなんやー!? 記事の幅を変更しようと、CSSをいじくっていたら、スマホ表示で幅が画面からはみ出てることに気づきました。スクロールで右にやると記事は全部あるのですが… 一行ごとのスクロールで …

WordPress更新エラー Briefly Unavailable…

WordPressのセキュリティやプラグインのアップデートを試みると、Briefly Unavailable For Scheduled Maintenance Error In WordPressが …

Author Profile
こつこつインフォの筆者こつ子です。
いつも兀々やってます。
出版関係のグラフィックデザイナー。
趣味はWebsiteを作ること、ヨガ、犬と山歩き、フルーツ酒作り。
読んでくれてありがとう〜!
**ご意見はこちらへ**