Daily happenings, XHTML, CSS, MT, WP, Web, a memo, etc…

WordPressを安全に運営するためのTips

WordPressを安全に運営するため、設定・実行している項目。(2012.10追記)

  • テーブルプレフィックス(接頭辞)の変更。(デフォルトでは「wp_」)
    WordPressをサーバにアップする前に「wp-config.php」で変更。
    すでにサイト運営中の場合、プラグイン「WP Security Scan」を使用。
  • WordPressを最新のバージョンにアップグレード。
  • パスワードの強度を上げる
  • パスワードの暗号化。
    プラグイン「semisecure login reimagined」を使用。(SSL環境下でない場合)
  • デフォルトユーザー名のadminは使わない。
  • 「wp-config.php」ファイルの保護。
    「.htaccess」に下記を記述。
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    
  • ディレクトリのファイル一覧を表示させないように、「.htaccess」に下記を記述。
    ※「Options」が使用出来ないサーバがあります。
    Options -Indexes
    
  • metaにあるWordPressのバージョンは隠す。
    「functions.php」に下記を記述。
    <?php
    remove_action('wp_head', 'wp_generator');
    ?>
    
  • 定期的にデータベースのバックアップ。
    プラグイン「wp-db-backup」を使用。
  • 「robots.txt」の設置。
    「robots.txt」に下記を記述。
    User-Agent: *
    Disallow: /wp-login.php
    Disallow: /wp-admin/
    Disallow: /wp-includes/
    Disallow: /wp-content/