WordPressブログのセキュリティを向上させる方法

WordPressは、インターネット上で最も人気のあるセルフホストコンテンツ管理システム（CMS）であるため、Microsoft Windowsと同様に、最も人気のある攻撃の標的でもあります。 このソフトウェアはオープンソースであり、Githubでホストされており、ハッカーは他のWordPressサイトにアクセスするために悪用される可能性のあるバグや脆弱性を常に探しています。

WordPressのインストールを安全に保つためにできることは、WordPress.orgソフトウェアの最新バージョンを常に実行し、さまざまなテーマとプラグインが更新されていることを確認することです。 WordPressブログのセキュリティを向上させるためにできる他のいくつかのことを次に示します。

＃1。 WordPressアカウントでログインします

WordPressブログをインストールすると、最初のユーザーはデフォルトで「admin」と呼ばれます。 WordPressブログを管理するために別のユーザーを作成し、「admin」ユーザーを削除するか、役割を「administrator」から「subscriber」に変更する必要があります。

完全にランダムな（推測しにくい）ユーザー名を作成するか、Jetpackでシングルサインオンを有効にし、WordPress.comアカウントを使用してセルフホストのWordPressブログにログインすることをお勧めします。

＃2。 WordPressのバージョンを世界に宣伝しないでください

WordPressサイトは常にバージョン番号を公開しているため、パッチが適用されていない古いバージョンのWordPressを実行しているかどうかを簡単に判断できます。

WordPressバージョンをページから削除するのは簡単ですが、もう1つ変更する必要があります。 WordPressのバージョンを世界に宣伝するため、WordPressのインストールディレクトリからreadme.htmlファイルを削除します。

＃3。 他の人にあなたのWordPressディレクトリに「書き込み」させないでください

WordPress Linuxシェルにログインし、次のコマンドを実行して、他のユーザーがファイルを書き込むことができるすべての「開いている」ディレクトリのリストを取得します。

探す 。 -type d -perm -o = w

シェルで次の2つのコマンドを実行して、すべてのWordPressファイルとフォルダーに適切なアクセス許可を設定することもできます（参照）。

/ your / wordpress / folder / -type d -exec chmod 755 {} \;を検索します。 / your / wordpress / folder / -type f -exec chmod 644 {} \;を検索します。

ディレクトリの場合、755（rwxr-xr-x）は、所有者のみが書き込み権限を持ち、他の所有者は読み取りおよび実行権限を持っていることを意味します。 ファイルの場合、644（rw-r—r—）は、ファイルの所有者が読み取りおよび書き込みのアクセス許可を持っているのに対し、他の所有者はファイルを読み取ることしかできないことを意味します。

＃4。 WordPressテーブルのプレフィックスの名前を変更します

デフォルトのオプションを使用してWordPressをインストールした場合、WordPressテーブルにはwppostsやwp_usersなどの名前が付けられます。 したがって、テーブルのプレフィックス（wp）をランダムな値に変更することをお勧めします。 Change DB Prefixプラグインを使用すると、クリックするだけでテーブルプレフィックスの名前を他の文字列に変更できます。

＃5。 ユーザーがWordPressディレクトリを閲覧できないようにする

これは重要。 WordPressルートディレクトリで.htaccessファイルを開き、上部に次の行を追加します。

オプション-インデックス

デフォルトのindex.htmlまたはindex.phpファイルがそれらのディレクトリにない場合、外部がディレクトリで利用可能なファイルのリストを見るのを防ぎます。

＃6。 WordPressのセキュリティキーを更新します

WordPressブログ用の6つのセキュリティキーを生成するには、ここにアクセスしてください。 WordPressディレクトリ内のwp-config.phpファイルを開き、デフォルトのキーを新しいキーで上書きします。

これらのランダムなソルトにより、保存されているWordPressパスワードがより安全になります。また、他の利点は、誰かが知らないうちにWordPressにログインした場合、Cookieが無効になるため、すぐにログアウトされることです。

＃7。 WordPressPHPとデータベースエラーのログを保持します

エラーログは、WordPressのインストールにどのような種類の無効なデータベースクエリとファイルリクエストがヒットしているかについての強力なヒントを提供する場合があります。 エラーログは定期的にメールで送信され、WordPressダッシュボード内にウィジェットとして表示されるため、エラーログモニターの方が好きです。

WordPressでエラーログを有効にするには、次のコードをwp-config.phpファイルに追加し、/ path / to /error.logをログファイルの実際のパスに置き換えることを忘れないでください。 error.logファイルは、ブラウザーからアクセスできないフォルダーに配置する必要があります（参照）。

define（ 'WP_DEBUG'、true）; if（WP_DEBUG）{define（ 'WP_DEBUG_DISPLAY'、false）; @ini_set（ 'log_errors'、 'On'）; @ini_set（ 'display_errors'、 'Off'）; @ini_set（ 'error_log'、 '/ path / to / error.log'）; }

＃9。 管理ダッシュボードをパスワードで保護する

この領域のファイルはいずれも、WordPressの公開Webサイトにアクセスするユーザーを対象としていないため、WordPressのwp-adminフォルダーをパスワードで保護することをお勧めします。 保護されると、許可されたユーザーでさえ、WordPress管理ダッシュボードにログインするために2つのパスワードを入力する必要があります。

10.WordPressサーバーでのログインアクティビティを追跡します

Linuxで「last-i」コマンドを使用すると、WordPressサーバーにログインしたすべてのユーザーのリストとIPアドレスを取得できます。 このリストに不明なIPアドレスが見つかった場合は、間違いなくパスワードを変更する必要があります。

また、次のコマンドは、IPアドレスでグループ化された長期間のユーザーログインアクティビティを表示します（USERNAMEをシェルユーザー名に置き換えます）。

last -if /var/log/wtmp.1 | grepユーザー名| awk '{print $ 3}' | 並べ替え| uniq -c

プラグインでWordPressを監視する

WordPress.orgリポジトリには、侵入やその他の疑わしいアクティビティがないかWordPressサイトを継続的に監視するセキュリティ関連のプラグインが多数含まれています。 これが私がお勧めする重要なものです。

1. エクスプロイトスキャナー-すべてのWordPressファイルとブログ投稿をすばやくスキャンし、悪意のあるコードが含まれている可能性のあるものを一覧表示します。 スパムリンクは、CSSまたはIFRAMESを使用してWordPressブログの投稿に隠されている可能性があり、プラグインもそれらを検出します。
2. WordFenceセキュリティ-これはあなたが持っているべき非常に強力なセキュリティプラグインです。 WordPressのコアファイルをリポジトリ内の元のファイルと比較するため、変更があればすぐに検出されます。 また、プラグインは、「n」回のログイン試行の失敗後にユーザーをロックアウトします。
3. WP Notifier-WordPress管理ダッシュボードに頻繁にログインしない場合は、このプラグインが最適です。 インストールされているテーマ、プラグイン、コアWordPressの新しいアップデートが利用可能になるたびに、メールアラートが送信されます。
4. VIPスキャナー-「公式」セキュリティプラグインは、WordPressテーマをスキャンして問題がないか調べます。 また、WordPressテンプレートに挿入された可能性のある広告コードも検出します。
5. Sucuri Security-コアファイルへの変更がないかWordPressを監視し、ファイルまたは投稿が更新されたときに電子メール通知を送信し、失敗したログインを含むユーザーログインアクティビティのログも保持します。

ヒント：次のLinuxコマンドを使用して、過去3日間に変更されたすべてのファイルのリストを取得することもできます。 mtimeをmminに変更して、「n」分前に変更されたファイルを表示します。

探す 。 -type f -mtime -3 | grep -v“ / Maildir /” | grep -v“ / logs /”

WordPressログインページを保護する

WordPressのログインページには世界中からアクセスできますが、許可されていないユーザーがWordPressにログインできないようにする場合は、3つの選択肢があります。

1. .htaccessによるパスワード保護-これには、通常のWordPress資格情報に加えて、ユーザー名とパスワードを使用してWordPressのwp-adminフォルダーを保護することが含まれます。
2. Google Authenticator-この優れたプラグインは、Googleアカウントと同様にWordPressブログに2段階の検証を追加します。 パスワードと、携帯電話で生成された時間依存コードを入力する必要があります。
3. パスワードなしのログイン-Clefプラグインを使用してQRコードをスキャンしてWordPressWebサイトにログインすると、携帯電話自体とのセッションをリモートで終了できます。

参照：必須のWordPressプラグイン