WordPressの基本的なセキュリティ対策のチェックリスト

投稿日:

最近WordPressを使う機会があり、セキュリティはしっかりしておきたかったので、対応すべき項目のチェックリストを作ってみた。

  • パッケージ・プラグイン・テーマは常に最新にアップデート。
  • プラグイン・テーマは信頼できるもののみを利用。怪しいものは組み込まない。
  • CMS本体の各ディレクトリ・ファイルにアクセス制限をかけて攻撃されにくくする。
    • /wp-adminに、IP制限やBASIC認証を適用。
    • /wp-includesへのアクセス制限。
  • CMSに係るディレクトリ名・ファイル名・URLなど識別子名を変更し攻撃されにくくする。
    • /wp-login.phpへのアクセスURLの変更。
    • CMSが利用するDBテーブルの接頭辞を「wp_」から任意のものへ変更。
  • 不要な機能は無効にする。
    • コメント・ピンバック機能は使わないなら必ず無効にする。
    • XMLRPCへのアクセス制限。
  • 不要な情報を外部に見せない。
    • WordPressのバージョン情報の削除。
  • /wp-content/uploadsでのPHP実行禁止。
  • CMSの構成ディレクトリおよびファイルへの適切なパーミッション設定。
  • 攻撃元の多くを占める海外からのバックエンド側へのアクセスを禁止。
  • マルウェア感染などのサイト改ざんの検知。
    • Google サーチコンソールへの登録。

なお、細かいところは多くの先達のソースがあるので、そちらを見た方が良い。
ちなみに、上述項目の多くは、WPプラグイン「All In One WP Security」で対応可能だった。

しかしこうやって見ると、MTでもWPでも気にすべきところは大きくは変わらないなぁ。

参考

【2018年版】WordPressのセキュリティ対策15項目 | ハックノート
view-source:https://hacknote.jp/archives/33947/

2018年版、WordPress(ワードプレス)のセキュリティ設定マニュアル | 今日の経営
https://keiei.co/wordpress-security/#WordPress

WordPressのセキュリティ対策まとめ+ハッキング被害を受けた話 | MacoBlog
https://macoblog.com/wordpress-security/

All In One WP Security & Firewallの使い方とおすすめの設定方法 | 今日の経営
https://keiei.co/all-in-one-wp-security-firewall/

関連するタグ

関連するタグは現在ありません。