WordPressのセキュリティー対策

無料のブログツール「Wordpress（ワードプレス）」のセキュリティー対策となるカスタマイズの方法を紹介します。

FC2ブログやアメーバブログなどのフリーブログであれば、セキュリティー対策はブログサービスの運営者側の問題である。

しかし、FC2ブログから、Wordpressへ移転すれば、自分でセキュリティー対策をしなければならない。

そこで、FC2ブログなどの無料ブログから乗り換えた人の為に、Wordpressのセキュリティー対策を紹介する。

セキュリティー対策については、絶対にこれで大丈夫という方法は無いし、全て行わなければならないというものでも無い。自分で有効だと思う対策だけ取り入れれば良いと思う。

常に最新バージョンを使用する。

WordPressの本体やプラグインは、常に最新バージョンを使用する。

パソコンにウイルス対策ソフトをインストールする。

HPを見るだけで感染するウイルスがあるため、パソコンにウイルス対策ソフトをインストールしておく。ウイルス対策ソフトは、「カスペルスキー」「ウイルスバスター」「ノートン」などが良い。

FTPソフト「FileZilla」などを使う。

ファイルのアップロードを狙うウイルス「ガンプラー」対策として、Wordpressやファイルのアップロードには、フリーソフト「FileZilla」を使用する。

WordPressのフォルダ名を変更する。

WordPressをフォルダごとアップロードする場合、フォルダー名「Wordpress」から任意の名前に変えておく。

接頭文字を変更する。

WordPressをデータベースにインストールするさい、接頭文字「wp_」から任意の接頭文字へ変更する。接頭文字の最後はアンダーバー（_）を入れておくと分かりやすい。

IDとパスワードは強固なものにする。

IDとパスワードは共に、アルファベットの大文字と小文字と数字と記号を交えて9文字以上にすると良い。

ログインしたらニックネームを変更する

WordPressログインしたら、「左メニュー」の「あなたのプロフィール」へアクセスし、「ニックネーム（必須）」を変更する。

初期設定では、「ニックネーム（必須）」がログインパスワードになっているので、プロフィールを変更した方がセキュリティーが向上する。

「ニックネーム（必須）」はRSSの送信者名になっているので、変更しなければ、RSSの受信者にログインパスワードを知られる。

.htaccessでアクセス制限をする

管理画面には管理人しかアクセスする必要が無いため、wp-adminディレクトリに.htaccessを設置して、アクセス制限をかける。

下記の3行をテキストエディタにコピペして、名前を「.htaccess」にして保存する。そして、wp-adminフォルダへアップロードする。

Order Deny,Allow
Deny from all
Allow from 703.112.51.216

これで、Wordpressの管理画面へアクセスした場合、「403Forbidden」のエラーが出れば成功である。

最後に、上の3行の3行目を自分のIPアドレスへ変更して、再び管理画面へアクセスし、管理画面が表示できれば成功である。

ただし、固定IPアドレスでなければ、自分のIPアドレスが変わる度に、「.htaccess」を書き換えなければならないデメリットがある。

.htaccessでアクセス制限-その2

wp-config.phpにアクセスする必用は無いため、.htaccessでサクセスを禁止する。

下記の3行をwp-config.phpと同じ階層に.htaccess置いてアクセス制限をかける。

<FilesMatch “^wp-config.php$”>
deny from all
</FilesMatch>

wp-config.phpに認証キーを設定する。

wp-config.phpには、8つの認証用キーがあるので、秘密鍵サービス「https://api.wordpress.org/secret-key/1.1/salt/」を使ってパスワードを生成し、wp-config.php内にある認証用キー8行を変更する。

なお、秘密鍵サービスのURLはwp-config.php内に書いてある。Wordpressのバージョンによっては、認証用キーの数は異なる可能性がある。

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here')

wp-config.phpのパーミッションを変更する。

ブログの設定やプラグインの設定を終了したら、wp-config.phpのパーミッションを「404」に設定する。

ただし、パーミッション変更後にブログの設定やプラグインの設定を変更しても、変更が反映されない場合はパーミッションを一時的に戻す必用がある。