WordPressでサイトを作成されている方はセキュリティを意識されているかと思いますが、プラグインのみで済ませていませんか?
このページでは、プラグインだけでは対応できないセキュリティ対策のための対応策を一覧でご紹介します。
まだやっていなかった!っと言う方は、是非参考にセキュリティ対策をしてみてください!
不要なファイルはサーバーから削除すべし!
ポイント
- license.txt
- wp-config-sample.php
- readme.html
WordPressをのインストールすると自動的に作成される「 license.txt」「wp-config-sample.php」「readme.html」が存在します。
WordPressをインストールした際に自動生成されるファイルです。
ブログ運営にあたって不要なファイルなのですが、削除していないとサイトの情報を外部に与えることにも繋がりますので、これらのファイルを必要としないのであれば、削除しておくのが無難です。
重要なファイルは外部から守る!
ポイント
- wp-config.php
WordPressの動作にかかわる各種設定が記載されている重要なファイルで、「データベースのID」「パスワード」が記録されています。
万が一、このファイルをハッカーに狙われれると個人情報の漏洩に繋がるため外部からアクセスできないようにしておきましょう!
wp-config.phpのパーミッションを変更
Xserverのファイル管理より直接設定できますので、以下の手順に従って設定しておきましょう。
- Xserverへログイン
- ファイル管理をクリックし「Xserver FTP」へアクセス
- WordPressがインストールされているドメインをクリック
- 「pbulic_html」をクリック
- 「wp-config.php」にチェックを入れて、パーミッション変更をクリック
- ファイル操作でパーミッションを「400」と入力して「パーミッション変更」をクリック
パーミッションの値についてですが、WordPressの公式サイトでは「600」を推奨していますが、ファイルのオーナーのみが読み込むことが出来る「400」が最も安全な設定であるため「400」で設定出来るか確認しておきましょう。
ただし、共用サーバーの場合はパーミッションを「400」に設定することができない場合もあるようです。Xserverの場合は「400」に設定することが出来るため変更しておく事をオススメします!
wp-config.phpへのアクセスを.htaccessで制御
「.htaccess」はWebサーバーをディレクトリ単位で制御するためのファイルで、 リダイレクトや404エラーページの作成、BASIC認証(ベーシック認証)の設定を行う事の出来るファイルです。
wp-config.phpと同じディレクトリにあり、以下のコードを.htaccessに追記してwp-config.phpへのアクセスを制御しましょう。
<Files wp-config\.php>
Order deny,allow
Deny from all
まとめ
以上、WordPress特有のセキュリティチェックリストをご紹介しました。
初心者の方にとって簡単ではありませんが、万が一の事態が起きてからでは遅いため、安全性を確保するためにも対策しておきたいところです。
時間を掛けて作り上げる記事やレイアウトなどと同様に、セキュリティについても是非チェックしてみください!
の膨らませた姿-150x150.webp)
