WordPress を使うのは初めてなのでセキュリティについて調べてみました。WordPress は多く普及しているので、狙われやすいんですね。しっかり対策をしてからサイトを公開しました。以下、まとめます。
セキュリティ対策として行ったこと
難読化
管理画面へのログイン名・パスワードを難解な文字列に設定しました。
契約しているサーバーによって変わりますが、ConoHa の場合 [WordPress 管理画面メニュー] から [ConoHa Wing] → [コントロールパネル] でログインし、[サイト管理] → [データベース] でユーザーを選び、[管理ツール] に表示されている [phpMyAdmin] で、ログイン名・パスワードを入力、設定画面に入ります。
左の一覧から wp_users を選び、[編集] で user_login の右の欄の ユーザー名 、user_pass の右の欄の パスワード を入力し、画面下にある [実行] を行います。
これも契約しているサーバーによって変わりますが、[サイト管理] の [セキュリティ] で SSL や、ログイン制限 なども設定しておきます。
不要物を削除
使用していないテーマ、プラグインを削除しました。
テーマは [WordPress 管理画面メニュー] の [外観] で表示されるテーマで使用していないものにカーソルを合わせ、[テーマの詳細] で開いた画面の [削除] をしました。
プラグインは [WordPress 管理画面メニュー] の [プラグイン] → [インストール済みプラグイン] で表示される、プラグインで使用していないものを削除します。
最初から入っている WP Multibyte Patch は削除せず、設定しておいた方がよいみたいです。
詳細はこちら WP MULTIBYTE PATCH
セキュリティプラグインのインストール
セキュリティ強化プラグイン SiteGuard WP Plugin 、All In One WP Security & Firewall をインストールしました。
プラグインのインストールは、[WordPress 管理画面メニュー] の [プラグイン] → [新規追加] → [キーワード] から検索して表示された中から必要なものを選んでインストールします。
SiteGuard WP Plugin が [WordPress 管理画面メニュー] に表示されます。そこから [ログインページ変更] を選び、[変更後のログインページ名] で難解な文字列にしました。
All In One WP Security & Firewall は、[WPセキュリティ] という項目が [WordPress 管理画面メニュー] に表示されます。そこから各種設定を行います。
詳細はこちら All In One WordPress Security and Firewall Plugin
アクセス制限
SiteGuard WP Plugin で ログインページは変更されているのですが、念のため以下対策をしました。
wp-config.php のパーミッションを、管理者だけ読み込みの 400 に設定しました。
FTPソフトから変更します。FileZillaであれば、サーバーの対象ファイルを右クリック [パーミッションの変更] から、属性値に 400 と入力します。
.htaccess に、wp-config.php への制限を記述しました。
<files wp-config.php>
order allow,deny
deny from all
</files>
最新環境に更新
WordPress、テーマ、プラグインを最新のバージョンにしました。
[WordPress 管理画面メニュー] → [ダッシュボード] → [更新] で更新版が表示されているものを更新します。
セキュリティレベルのチェック
サイトのセキュリティレベルを以下サイトでチェックしました。
WPScans.com
良好な結果がでました。
WPdoctor
こちらは、上記セキュリティ対策を行うと「URL supplied 'https://3nmt.com/' seems to be down.」「サーバーがダウンしています」 と表示されるようになりました。
セキュリティチェックもできないほどにセキュリティが高くなったのでしょうか…?
本来は WordPress を使用していることも隠すべきみたいなんですけど…