WordPress というブログツールはオープンソースでインストールも簡単なので、ブログをスタートする敷居が低い。
インストーラーがあるのでFTPでウェブサーバーにアップロードして、インストーラーにアクセスすればデータベース(MySQL)の準備が終わっていれば5分もかからずセットアップができます。
しかし、WordPress はオープンソースが故にソースコードが丸見えであり、世界的にシェア率が高いため常にハッカーに狙われるマトになっています(仕事でハッカーの踏み台にされてるウェブサーバの殆どがWordPress入ってるサーバーだったのを生でみているので怖いですよ、ほんと)。
試しに Google で「wordpress セキュリティーホール」で検索かけると怖い記事がいろいろ出てきます。
このブログも WordPress で動いています。
一昨日セットアップしたばかりです(それまではてなブログで書いてました)。
久しぶりに WordPress を利用することになったので、今回のセットアップで気をつけた注意点を下記にまとめます。
お仕事で WordPress を使って開発されている方には「これもした方がいいよ」とか、「これはコッチがいい」とかコメントでアドバイスいただければ幸いです。
個人でなんとなく WordPress 使おうかなって思ってる人は自分ができそうか、やめた方がいいか判断する材料にしていただければと思います。
最低限設定した WordPress のセキュリティ対策
- WordPress, 初期プラグラインを WordPress の管理画面で最新バージョンにアップデートにする。
- WordPress に入っている初期ユーザーは管理画面から削除。
- WordPress で新しく登録したユーザーのパスワードをユニークで10桁以上のパスワードに設定。
- WordPressの「外観 > ウィジェット > ブログサイドバー」から「メタ情報」を外す(ログイン画面へのリンクなどが晒されるのが気持ち悪いので)。
- .htaccessファイルで wp-config.php, wp-mail.php, install.php への外部からのアクセスができないようにしています(install.php は削除しなさいという意見もありますが、アップデートすると復元するという話を聞きました)。
- .htaccess, wp-config.php , 各種ファイル、各種フォルダのパーミッションを然るべき値にする(例えば、ファイルは604、フォルダは705にしなさいというあれです)。
- MySQL の管理ツール phpMyAdmin をインストール。
- MySQL に WordPress 以外のテーブルやユーザーが居ないことを確認。必要ない初期テーブルや初期ユーザーがいれば削除する。
- セットアップが完了したらサイト全体の全量バックアップを行う。
- 個人的に MySQL にデータベースから WordPress のコンテンツデータなども抜き出しておきます(phpMyAdminを使います)。
- SSL の導入。それに伴うリダイレクト設定と、WordPress の設定変更など。
ざっと、これぐらいに気を使いました。
3年ぶりに WordPress を触り始めたので足りないところがあったら教えてください。
セキュリティ強化のためのプラグインとかも検討して1度いれたんですが、面倒になったので今はいれて居ません。
取り敢えず wp-login.php か wp-admin に BASIC認証をかける作業を現在、調査中です(プラグイン使わずに)。
安全な WordPress ライフをみなさんお過ごしください。
最後までお読みいただきありがとうございました。