WordPressのセキュリティー対策

ワームの被害にあわないようワードプレスもセキュリティー対策をしよう! ということでワードプレスのセキュリティー対策方法を挙げていきます。

WordPressを最新版に保つ

過去にWP2.8.4以下の脆弱性で騒がれた(※参考:現在進行中の WordPress に対する攻撃の詳細と再現) こともありますし、WordPressはできるだけ最新版に保つようにします。 ※バージョンは隠すべき?(参考:WordPressのセキュリティをアップする11のポイント)

セキュリティーキーを設定する

wp-config.php の編集を参考にwp-config.phpのセキュリティーキーを設定します。

オンラインジェネレータを利用すると便利です。

ユーザー名・ブログ上の表示名の変更 / wp-include/comment-template.php の編集

ユーザー設定

「ユーザー」設定で、デフォルトのユーザー名 "admin" を変更し、 ブログ上の表示名もフィードに表示されるので問題のないように変更します。

wp-include/comment-template.php の編集

※どんな影響があるのか分からず不安なので… wp-include/comment-template.php の編集は自己責任でお願いします。

と断り書きした上で… コメントをログイン状態で書き込むとソースにユーザー名が出てきてしまうので

wp-include/comment-template.php の298行目

$classes[] = 'comment-author-' . sanitize_html_class($user->user_nicename, $comment->user_id);

をコメントアウト、または削除します。

wp-mail.php のリネーム・削除

wp-mail.php をファイル名が予測しにくいようにリネーム または 削除します

参考:WordPress 2.7 のメール投稿機能を使う - futuremix

wp-admin/ ディレクトリのアクセス制限

wp-adminディレクトリに.htaccessファイルを置き IPアドレス制限やベーシック認証によりアクセス制限をします。 ※.htaccess の作成は .htaccess Editor がとても便利です。

IPアドレスやホスト名の確認

アクセス情報【使用中のIPアドレス確認】にアクセスするだけで IPアドレスやホスト名を確認できます。 ネットワークIPアドレスをしらべる場合は 上記リンク先にて「IPアドレスの情報を見る」のリンク をクリック⇒「管理情報紹介」ボタンをクリックします。

IPアドレスなどで制限

ネットワークIPアドレスの制限をする場合で正規表現を使う時は

Googleのツールを使うとコード生成が楽です。

また、IPアドレス以外の他の条件もつけるといいかもしれません。

# .htaccessの例
SetEnvIf Accept-Language "ja" lang=1
SetEnvIf User-agent "Chrome/4" browser=1
SetEnvIf Remote_Addr ^66.249.(6[4-5]).([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))$ address
SetEnvIf lang "^$" !address
SetEnvIf browser "^$" !address

Order Deny,Allow
Deny from all
Allow from env=address

※上記コードは ApacheのAllow, Denyディレクティブでand条件したい - (ひ)メモ を参考にさせて頂きました。

ベーシック認証

アクセス制限ベーシック認証~パスワードでページを守ろう~ - .htaccessの小技編 - futomi's CGI Cafe を参考にどうぞ。知らないとむずかしそうですがやってみればカンタンです。

Share