WordPressセキュリティ対策1
WordPressでは管理画面(ダッシュボード)にログイン(管理者権限)されてしまうと何でも操作されてしまいます。
最低限でもこのくらいの対策をしておきましょう。
1.ユーザー、パスワード
ログインに利用するユーザー、パスワードは簡単にログインできないモノ(要因に推測できるものは絶対に使わない)にしましょう。
ユーザー名にadmin、とか、password、1234、1qaz!QAZ・・・・などを利用するのは大変危険です。
PCなどのコマンドから自動生成するのも良いかもしれないです
Windowsでランダムパスワード(PowerShellから)
Macのopensslから作成
Linux パッケージpwgenをインストールして
2. author.php ログインユーザー名がバレるのを防ぐ
自分のウェブサイトやブログのトップページを表示させて、アドレスバーのURLの末尾に
/?author=1 と入れてアクセス見てください。
あなたのユーザー名、またはブログの管理ユーザーが見えますか?
これはWordPressの仕様で脆弱性とかバグとかではないんです。
が、ユーザー名が解ってしまうとあとはパスワードだけなのであっという間に乗っ取られます。
一番簡単な対策としてはauthor.phpテンプレートを使っていない場合はauthor.phpにトップページへのリダイレクトをかけるとひとまず良いでしょう。
3.管理画面(ダッシュボード)にアクセス制限をかける
WordPressのダッシュボードに入るには以下のアドレスにアクセスします。
https://hogehoge/wp/wp-login.php
このファイル自体にベーシック認証、またはIP制限をかければ良いわけです。
(※ディレクトリ「wp-admin」に制限をかけるような記述がありますが、ajaxを利用している場合通信ができなくなります。)
IPアドレスで許可する場合(apache)WordPressの.htaccessに以下のように書く(xmlrpc.phpも)
ベーシック認証でアクセス制限 Apache(.htaccess)