WordPressを安全に運営するためのTips
WordPressを安全に運営するため、設定・実行している項目。(2012.10追記)
- テーブルプレフィックス(接頭辞)の変更。(デフォルトでは「wp_」)
WordPressをサーバにアップする前に「wp-config.php」で変更。
すでにサイト運営中の場合、プラグイン「WP Security Scan」を使用。 - WordPressを最新のバージョンにアップグレード。
- パスワードの強度を上げる
- パスワードの暗号化。
プラグイン「semisecure login reimagined」を使用。(SSL環境下でない場合) - デフォルトユーザー名のadminは使わない。
- 「wp-config.php」ファイルの保護。
「.htaccess」に下記を記述。
<files wp-config.php> order allow,deny deny from all </files>
- ディレクトリのファイル一覧を表示させないように、「.htaccess」に下記を記述。
※「Options」が使用出来ないサーバがあります。
Options -Indexes
- metaにあるWordPressのバージョンは隠す。
「functions.php」に下記を記述。
<?php remove_action('wp_head', 'wp_generator'); ?>
- 定期的にデータベースのバックアップ。
プラグイン「wp-db-backup」を使用。 - 「robots.txt」の設置。
「robots.txt」に下記を記述。
User-Agent: * Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/