tanatiyo 以下、作業用メモです。
WordPressのセキュリティ対策について
- 最新版にアップデート:WordPress関連のソフトウェア(WordPress本体、テーマ、プラグイン、PHPなど)を最新版に保つことが最も基本的な対策。
- 自動アップデートを有効化:最新版が出る度に手動で更新するのが大変な場合は、自動アップデートを有効化すると良い。
- バージョン情報を非表示に:WordPressのバージョン情報を非表示にして、攻撃者に情報を与えないようにする。
- ログインURLを変更:デフォルトのログインURLは攻撃者によく知られているため、ログインURLを変更することで不正アクセスを防ぐことができる。
- ?author=1を非表示に:これはユーザー名漏洩を防ぐための対策。
- パーミッションの変更:適切なパーミッション設定により、不正なファイル改ざんを防ぐことができる。
- xml-rpc.phpを無効化:xml-rpc.phpはブルートフォース攻撃に利用されることがあるため、無効化することが推奨されている。
- 不要なファイルを削除:不要なファイルはセキュリティリスクとなる可能性があるため、定期的に削除することが重要。
これらは一部の対策であり、他にも様々なセキュリティ対策が存在する。例えば、不要なテーマ・プラグインの削除、reCAPTCHAによる認証、サーバーでWAF(Web Application Firewall)を有効化する、海外からのアクセスを遮断する、定期的なバックアップを取るなど。
これらの対策はすぐに実行可能であり、初心者でも簡単にできるものばかり。ただし、これら全ての対策を行ったとしても100%のセキュリティが保証されるわけではない。常に最新のセキュリティ情報をチェックし、必要な対策を講じていくことが重要。
【参考サイト】
