WordPressのセキュリティー対策にはクラッキングの第一候補に上がらないように、とりあえず今出来ることをやろうと思います。マイナーサイトもやられますよ! 自分は被害者なので警告します! 勝手にリンクを外部サイトにリダイレクトされました。
ただし、WordPressよりも、サーバーの管理画面に入られる場合の方が危険です。サーバーへのログインパスワードは複雑で長いものにしましょう。サーバーのパーミションの変更方法はこちら。
*力を入れてセキュリティー対策をここに記載させて頂いておりますが、全ては自己責任でお願いします。また、たくさんの書物、サイトを参照させて頂いております。貴重な情報を与えてくださる全ての著者の方々に感謝いたします。
-
「.htaccess」ファイルにサブディレクトリを非表示(=アクセス禁止)にするコードを足す。「.htaccess」は隠れファイルなので、FTPソフトで見つけられます。開いて上でも下でも良いのでこう書き込みます。
Options – Indexesサブディレクトリを公開してしまうと、クラッカーに目を付けられます。
-
「readme.html」を削除する。クラッカーはWordPressのバージョン情報を知りたいのです。バージョンで狙ってきますよ! このファイルは必要ありません。消しましょう。
-
wp headタグからもバージョン情報を消す。
テーマ編集で「functions.php」を開けてコードを書き込見ます。remove_action(‘wp_head’, ‘wp_generator’);サイトを閲覧する人誰でも「ソース」モードでヘッダーのバージョン情報が見れてしまいます。こんな感じです。<meta name=“generator” content=“WordPress 4.7.2” />
でも、「functions.php」にコードを付け加えることで、ヘッダーからWordPressのx.xバージョンという記載が消えます。クラッカーは特定のバージョンを狙ってきますので消すのが一番です。 -
「wp-config」ファイルを開けてテーマ編集変更を不可能にする。一番下にというコードを足します。
define(‘DISALLOW_FILE_EDIT’, TRUE);クラッカーはあたなと同じで、ログインして何でも変更できるのです。鍵を持っているのと同じです。自分がテーマの編集をしたいときは、消せば機能が戻ります。編集が終わったら、また、コードを戻しましょう。
-
ユーザー名にニックネーム
WordPressの管理画面で「ユーザー」から「ブログ上の名前」を別名に編集します。サイト管理者のユーザー名が公開されると、クラッカーにWordPressのログインユーザー名をそのまま教えることになります。あとはパスワードを破られたら終わり! -
前の5で、ブログ上の名前を変えても、他の表示方法でユーザー名はバレます。なのでパスワードを暗号化するためのプラグイン「Chap Secure Login」も使います。
-
サーバーの管理画面(コントロールパネル等)で「wp-config.php」のアクセス権を0644(全ての人が読める)から、0400(所有者だけが読める)に変更。このファイルにはWordPressで大事なデータ名、ユーザー名、パスワードが記載されています。ディフォルトの0644のままではクラッカーに「見てください」と言ってるようなもの! ダメです!
- 限られたIPでWordPress ログイン制限をかける。
URL「……../admin」でWordPressにログイン画面に誰でも入れますが、これにIPアドレスで制限をかけます。「wp-login.php」ファイルのあるディレクトリの「.htaccess」にこう書き足します。00.00.00.00はIPアドレスを入れます。念のため、2つのIPアドレスがある場合を記載しました。1つの場合は「allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。<Files wp-login.php>
order deny,allow
Deny from all
allow from 00.00.00.00 #IP address-1
allow from 00.00.00.00 #IP address-2
</Files> -
9に続いて、Adminログイン制限をかける。
「wp-admin」フォルダ内に「.htaccess」を新規作成して、書き込みます。IPが1つの場合は「Allow from 00.00.00.00 #IP address-2」は要りません。*これはApacheサーバー対象で、Nginxサーバーには有効ではありません。Order deny,allow
Deny from all
Allow from 00.00.00.00 #IP address-1
Allow from 00.00.00.00 #IP address-2
<FilesMatch “(admin-ajax.php)$”>
Satisfy Any
Order allow,deny
Allow from all
Deny from none -
プラグイン「Acunetix WP Security」で「wp_」プレフィックスを変更するとより良い。
スポンサーリンク