Webデザイナーの平尾誠です。最近のフロントエンドはWordpressもさわれて当然みたいになってしまって悲しいです。そんでまたセキュリティ対策とか素人すぎて悲しいです。
割と頻繁にWordpressの脆弱性が見つかったからアップロードしてくださいってWeb業界ではなっています。ここ最近もあったのでとっても記憶に新しいです。
WordPressは世界中のWebサイトが使っているのでそれだけハッカーの数も多いんですよ。あまり手間をかけづにするやり方を記します。
ユーザー名とパスワードは予想しにくいものにする
まあ当然ですね。どっかの記事にもがっていましたが14分あれば大抵のパスワードはわかっちゃうみたいです。
ほんま怖い。
wp-config.phpにアクセスさせない
「wp-config.php」にはデータベース名、ユーザー名、パスワード、データベースの接頭辞(プレフィックス)が思いっきり書いてあるので、このファイルを見られたらクリティカル。
「wp-config.php」と同一階層の「.htaccess」に追加する。
<files wp-config.php>
order allow,deny
deny from all
</files>
管理画面にアクセス権限をかける
「wp-admin」直下に「.htaccess」を配置する。
グローバルIPがあるならIPアドレスを使って制限する。
Basic認証をかける。
#IPアドレスで制限
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !192.168.0.1 #グローバルIPアドレス
RewriteRule .* / [R=302,L]
#Basic認証で制限
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile /var/www/html/ #.htpasswdまでのパス
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
order deny,allow
プラグイン:SiteGuard WP Plugin
SiteGuard WP Plugin
https://srd.wordpress.org/plugins/siteguard/
初心者向けの記事は海外バックパッカーフリーランサーのWebさえさんの記事がオススメされてました。僕も複数サイトをこのプラグインで守ってます。
ログイン画面からちゃんとしてる!!
まとめ
がっちりやりすぎると自分も使いにくくなったりするので、どこで妥協するかが問題ですが、やりすぎってことはないように思います。また、使わないプラグインも削除しておきましょう。都市伝説ですがやるに越したことはないですよ。
ほなね
