WordPressを安全に運営するためのTips

• Feb 10, 2010
• Tags: tips, wp

WordPressを安全に運営するため、設定・実行している項目。（2012.10追記）

• テーブルプレフィックス（接頭辞）の変更。（デフォルトでは「wp_」）
  WordPressをサーバにアップする前に「wp-config.php」で変更。
  すでにサイト運営中の場合、プラグイン「WP Security Scan」を使用。
• WordPressを最新のバージョンにアップグレード。
• パスワードの強度を上げる
• パスワードの暗号化。
  プラグイン「semisecure login reimagined」を使用。（SSL環境下でない場合）
• デフォルトユーザー名のadminは使わない。
• 「wp-config.php」ファイルの保護。
  「.htaccess」に下記を記述。
  

  <files wp-config.php>
  order allow,deny
  deny from all
  </files>
  

• ディレクトリのファイル一覧を表示させないように、「.htaccess」に下記を記述。
  ※「Options」が使用出来ないサーバがあります。
  

  Options -Indexes
  

• metaにあるWordPressのバージョンは隠す。
  「functions.php」に下記を記述。
  

  <?php
  remove_action('wp_head', 'wp_generator');
  ?>
  

• 定期的にデータベースのバックアップ。
  プラグイン「wp-db-backup」を使用。
• 「robots.txt」の設置。
  「robots.txt」に下記を記述。
  

  User-Agent: *
  Disallow: /wp-login.php
  Disallow: /wp-admin/
  Disallow: /wp-includes/
  Disallow: /wp-content/