そのWordPress大丈夫?今すぐできるセキュリティ対策!

Webデザイナーの平尾誠です。最近のフロントエンドはWordpressもさわれて当然みたいになってしまって悲しいです。そんでまたセキュリティ対策とか素人すぎて悲しいです。
割と頻繁にWordpressの脆弱性が見つかったからアップロードしてくださいってWeb業界ではなっています。ここ最近もあったのでとっても記憶に新しいです。

WordPressは世界中のWebサイトが使っているのでそれだけハッカーの数も多いんですよ。あまり手間をかけづにするやり方を記します。

ユーザー名とパスワードは予想しにくいものにする

まあ当然ですね。どっかの記事にもがっていましたが14分あれば大抵のパスワードはわかっちゃうみたいです。
ほんま怖い。

wp-config.phpにアクセスさせない

「wp-config.php」にはデータベース名、ユーザー名、パスワード、データベースの接頭辞(プレフィックス)が思いっきり書いてあるので、このファイルを見られたらクリティカル。
「wp-config.php」と同一階層の「.htaccess」に追加する。

<files wp-config.php>
order allow,deny
deny from all
</files>

管理画面にアクセス権限をかける

「wp-admin」直下に「.htaccess」を配置する。

グローバルIPがあるならIPアドレスを使って制限する。
Basic認証をかける。

#IPアドレスで制限
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !192.168.0.1 #グローバルIPアドレス
RewriteRule .* / [R=302,L]

#Basic認証で制限
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile /var/www/html/ #.htpasswdまでのパス
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
order deny,allow

プラグイン:SiteGuard WP Plugin

SiteGuard WP Plugin
https://srd.wordpress.org/plugins/siteguard/

初心者向けの記事は海外バックパッカーフリーランサーのWebさえさんの記事がオススメされてました。僕も複数サイトをこのプラグインで守ってます。

ログイン画面からちゃんとしてる!!

まとめ

がっちりやりすぎると自分も使いにくくなったりするので、どこで妥協するかが問題ですが、やりすぎってことはないように思います。また、使わないプラグインも削除しておきましょう。都市伝説ですがやるに越したことはないですよ。

ほなね