安全対策をしていますか?セキュリティー対策を怠るとWordPressを改ざんされたりする事があります。他人事の様な感じがするかもしれませんが、対策をしておかないと後で後悔する事になるかもしれません。セキュリティー関連の話は殆どのWordPressの書籍には書いていないので、情報をシェアします。
パーミッション設定
FTPでパーミッションを変更します。設定方法ですが、どれも同じ感じだと思います。私の場合は、FileZillaを使用しています。該当のファイルを右クリックし、「パーミッションの変更」→ 属性値を書き換えて[OK]するだけです。
FFFTPなら「属性の変更」から修正します。
ファイル | デフォルト | 修正後 |
---|---|---|
.htaccess | 644 | 604 |
wp-config.php | 644 | 400 |
常に更新
WordPressは、常に最新バージョンにしておいて下さい。最新のバージョンには、不具合の修正やセキュリティに関する重要な更新が含まれています。
テーマの更新も忘れずに!
また、信用性の低いテーマは使用しない様にする事も大事です。
きちんと管理され更新されているテーマを選択した方が安心で、安全です。利用さの多さが目安の一つと言えると思います。
- Swell
- Arkhe
- Understrap
- cocoon
プラグインも同様です。
リスクを減らす
使用していないプラグインは削除しましょう。どうせ使っていない訳ですし、出来ますよね。
セキュリティー系プラグインの利用
いろいろあって迷いますが、最近は、XO Security と BBQ Firewall をセットで使用しています。
Akismet
プレインストールされていますよね。コメント欄を設けているなら、あった方が安心です。ただ、これって商用は有料なんです。商用にはアドセンス等の広告収入も含まれます。
SiteGuard WP Plugin
ログイン画面のURLの変更やログインの際に画像の文字列を入力する画像認証などを付ける事が出来ます。その他、通知系がいろいろ付いています。初心者にはちょっと難しいかもしれませんが、日本語版になっているので、触ってみるのが近道です。ロリポップのWordPressの簡単インストールを使うと、既にあるので長年利用していましたが、これ、重いかも?最近、私は使用していません。
SWELLと相性があまり良くない様です。非推奨プラグインと位置付けられています。
SWELL詳細ページ
XO Security
ログイン情報を守る系のプラグインです。SwellでもOKなのでSiteGuard WP Pluginの代替えとして使っています。日本語対応。「このプラグインは .htaccess ファイルに書き込みません。Apache のほか LiteSpeed、Nginx および IIS でも動作します。」との事なので、ロリポのLiteSpeedでも大丈夫ですし、Akismetの代替えにもなります。
もし、サーバー移植やら、いろいろしているうちに、「ログインページの変更」が残ってしまって、変になった場合の回避策をシェアします。
まず、「ログインページの変更」をOFFにし、FTPでWordPress ルートディレクトリ(wp-config.phpなどがある所)を確認。古いログインページと同じ名前のphpファイルが残っています。それを削除すれば再設定できます。
BBQ Firewall
その名の通り、ファイヤーウォールです。有効化するだけの手軽さが嬉しいです。
Wordfence Security
こちらも人気のプラグインです。ログイン系とファイヤーウォールの両方を備えたプラグインなので、基本的にはこれ1つでOKです。ただ、有料版というのが存在するので、無料版の効果の方が劣る事でしょう。
コメント ※ハンドルネームでお願いします