最終更新日: 2019年03月16日
ワードプレスのハッキング対策に役立つチェックリストです。
参考URL:https://wpsecuritychecklist.org/items/
ログインページ(9)
- 繰り返しログイン失敗する場合、ログインページをロックする
- 2つの要素で認証を有効にする(Google Authenticator)
- ユーザー名の代わりに電子メールアドレスを使用してログインする(Force Email Login)
- ログインページのURLを変更する(htaccessを変更)
- テーマからログインリンクを削除する(ある場合)
- すべてのアカウントで大文字、小文字、数字、および特殊文字を含む強力なパスワードを使用する(パスワード生成プログラム)
- パスワードを定期的に変更する
- ログインエラーメッセージをより一般的にする(ユーザー/パス)(チュートリアル)
- 使用していない場合は、WP REST APIを無効にする。(REST APIを無効にする)
管理画面(7)
- wp-adminフォルダをパスワードで保護する(必要なファイルだけをブロック解除する)
- WordPressを最新の状態に保つ
- ユーザー名adminでアカウントを作成しない。ある場合は、新しい管理者アカウントを作成し、古いアカウントを削除する。
- 編集者アカウントを作成し、コンテンツの公開にのみ使用する
- WordPress管理者セクションにSSLを実装する
- ファイルの変更をチェックするためのプラグインをインストールする(WP Security Scan、WordfenceまたはiThemes Security)。
- Webサイトをスキャンしてウイルス、マルウェア、およびセキュリティ侵害を探す
テーマ(4)
- テーマを最新に保つ
- 未使用のテーマを削除して削除する
- 信頼できる情報源からのみテーマをダウンロードして使用する
- テーマからWordPressバージョンを削除する
プラグイン(5)
- すべてのプラグインを最新に保つ
- 未使用のプラグインを削除して削除する
- 信頼できるソースからのみプラグインをダウンロードして使用する
- 古いプラグインを新しいプラグインに置き換える
- プラグインは必要最低限にする
データベース(3)
- デフォルトのテーブルプレフィックスを変更する(チュートリアル)
- データベースを定期的にバックアップする
- データベースユーザー(パスワードジェネレータ)には、大文字、小文字、数字、および特殊文字を含む文字を使用する。
ホスティングプロバイダー(7)
- 信頼できるホスティングプロバイダを雇う
- SFTPまたはSSH経由でのみサーバーに接続する
- すべてのフォルダ許可を755に、ファイルを644に設定する。
- wp-config.phpファイルが他の人からアクセスされていないことを確認してください。
- license.txt、wp-config-sample.php、およびreadme.htmlファイルを.htaccessで削除またはブロックする。
- 次のコードを追加して、wp-config.phpによるファイル編集を無効にします。 define(‘DISALLOW_FILE_EDIT’,true);
- 次のコードを追加して、.htaccessによるディレクトリの一覧表示を防止します。 Options All -Indexes
まとめ
セキュリティ対策に完璧はありません。
全て実施する必要はないですが、可能な限り実施しておくことをおすすめします。
もしもハッキングされてしまっても取り返しがつくように日々のバックアップもお忘れなく。
