WordPressは素人には難しい危険なツール

WordPress というブログツールはオープンソースでインストールも簡単なので、ブログをスタートする敷居が低い。

インストーラーがあるのでFTPでウェブサーバーにアップロードして、インストーラーにアクセスすればデータベース（MySQL）の準備が終わっていれば5分もかからずセットアップができます。

しかし、WordPress はオープンソースが故にソースコードが丸見えであり、世界的にシェア率が高いため常にハッカーに狙われるマトになっています（仕事でハッカーの踏み台にされてるウェブサーバの殆どがWordPress入ってるサーバーだったのを生でみているので怖いですよ、ほんと）。

試しに Google で「wordpress セキュリティーホール」で検索かけると怖い記事がいろいろ出てきます。

このブログも WordPress で動いています。
一昨日セットアップしたばかりです（それまではてなブログで書いてました）。

久しぶりに WordPress を利用することになったので、今回のセットアップで気をつけた注意点を下記にまとめます。

お仕事で WordPress を使って開発されている方には「これもした方がいいよ」とか、「これはコッチがいい」とかコメントでアドバイスいただければ幸いです。

個人でなんとなく WordPress 使おうかなって思ってる人は自分ができそうか、やめた方がいいか判断する材料にしていただければと思います。

最低限設定した WordPress のセキュリティ対策

1. WordPress, 初期プラグラインを WordPress の管理画面で最新バージョンにアップデートにする。
2. WordPress に入っている初期ユーザーは管理画面から削除。
3. WordPress で新しく登録したユーザーのパスワードをユニークで10桁以上のパスワードに設定。
4. 　WordPressの「外観 > ウィジェット > ブログサイドバー」から「メタ情報」を外す（ログイン画面へのリンクなどが晒されるのが気持ち悪いので）。
5. .htaccessファイルで wp-config.php, wp-mail.php, install.php への外部からのアクセスができないようにしています（install.php は削除しなさいという意見もありますが、アップデートすると復元するという話を聞きました）。
6. .htaccess, wp-config.php , 各種ファイル、各種フォルダのパーミッションを然るべき値にする（例えば、ファイルは604、フォルダは705にしなさいというあれです）。
7. MySQL の管理ツール phpMyAdmin をインストール。
8. MySQL に WordPress 以外のテーブルやユーザーが居ないことを確認。必要ない初期テーブルや初期ユーザーがいれば削除する。
9. セットアップが完了したらサイト全体の全量バックアップを行う。
10. 個人的に MySQL にデータベースから WordPress のコンテンツデータなども抜き出しておきます（phpMyAdminを使います）。
11. SSL の導入。それに伴うリダイレクト設定と、WordPress の設定変更など。

ざっと、これぐらいに気を使いました。

3年ぶりに WordPress を触り始めたので足りないところがあったら教えてください。

セキュリティ強化のためのプラグインとかも検討して1度いれたんですが、面倒になったので今はいれていません。

取り敢えず wp-login.php か wp-admin に BASIC認証をかける作業を現在、調査中です（プラグイン使わずに）。

安全な WordPress ライフをみなさんお過ごしください。

最後までお読みいただきありがとうございました。