WordPressを安全に運営するための10のTips

noupeのエントリー「Wordpress Security Tips and Hacks」から、WordPressを安全に運営するための10のTipsを紹介します。

Wordpress Security Tips and Hacks

追記：

2008年2月20日

9の「FilesMatch」の記述を修正しました。
併せて「FilesMatch」の関連リンクを追加しました。
タロタローグ ブログ さん、ありがとうございました。

1. 全てのユーザーにサーバー全部の検索を許可しない。
   • 「search.php」で下記の検索コードは使用しない。
     <?php echo $_SERVER ['PHP_SELF']; ?>
     代わりに下記のコードを使用する。

     <?php bloginfo ('home'); ?>
     

   • 「wp-」がついているフォルダをサーチエンジンなどに登録されないように、「robots.txt」に下記を記述する。

     Disallow: /wp-*
     

2. ディレクトリのファイル一覧を表示させない。
   • ダミーの「index.html」を設置したり、.htaccessに下記を記述する。

     Options -Indexes
     

3. metaにあるWordPressのバージョンは隠す。
   • metaにWordPressのバージョンは、「header.php」にある下記によって表示されます。

     <meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />
     

4. 管理画面への不正アクセスを防御する。
   • 管理画面へアクセス可能なIPアドレスを設定する。
     Protecting the Wordpress wp-admin folder
     「.htaccess」への記述例

     AuthUserFile /dev/null
     AuthGroupFile /dev/null
     AuthName “Example Access Control”
     AuthType Basic
     <limit GET>
     order deny,allow
     deny from all
     allow from xx.xx.xx.xx(IPアドレス)
     allow from xx.xx.xxx.xx(IPアドレス)
     </limit>
     

   • パスワードを暗号化して守るプラグイン。
     htaccess password protection
   • ログインに失敗したIPアドレスを記録し、アクセス不能にするプラグイン。
     Login LockDown
5. プラグイン・ウィジェット・テーマ、WordPressのバージョンアップは、まめに行う。
   • 配布サイトのRSSを登録するなどして、チェックする。
6. 定期的に、サイトとデータベースのバックアップを行う。
   • データベースのバックアップのプラグイン。
     WordPress Database Backup plugin
7. WordPressを最新のバージョンにする。
   • WordPressのサーバーから最新版を使用しているサーバーに取得するプラグイン
     Instant Upgrade Plugin
   • データベースのバックアップ、使用プラグインの記憶、メンテナンスモードなどに対応しているアップグレード用のプラグイン
     Wordpress Automatic Upgrade plugin
8. FTPではなく、SSh/Shellを使用する。
   ファイルの転送は暗号化した方が安全。
9. 「wp-config.php」ファイルにデータベースのユーザー名やパスワードが記述してあるので、下記を「.htaccess」に記述するなどして守る。
   ※参考：FilesMatch 重要なファイルを隠す

   <FilesMatch　^wp-config.php$>
   deny from all
   </FilesMatch>
   

10. パスワードは、強固なものにする。
    設定したパスワードは、チェッカーなどを使用して調べる。
    パスワード チェッカー

Post on:2008年2月19日