WordPressセキュリティ対策1

access_time

WordPressでは管理画面(ダッシュボード)にログイン(管理者権限)されてしまうと何でも操作されてしまいます。
最低限でもこのくらいの対策をしておきましょう。

 

1.ユーザー、パスワード

ログインに利用するユーザー、パスワードは簡単にログインできないモノ(要因に推測できるものは絶対に使わない)にしましょう。
ユーザー名にadmin、とか、password、1234、1qaz!QAZ・・・・などを利用するのは大変危険です。

PCなどのコマンドから自動生成するのも良いかもしれないです

 

Windowsでランダムパスワード(PowerShellから)

Windowsでpowershellを使用しランダムなパスワードを生成する

 

Macのopensslから作成

 

Linux パッケージpwgenをインストールして

 

2. author.php ログインユーザー名がバレるのを防ぐ

自分のウェブサイトやブログのトップページを表示させて、アドレスバーのURLの末尾に
/?author=1 と入れてアクセス見てください。

あなたのユーザー名、またはブログの管理ユーザーが見えますか?
これはWordPressの仕様で脆弱性とかバグとかではないんです。
が、ユーザー名が解ってしまうとあとはパスワードだけなのであっという間に乗っ取られます。
一番簡単な対策としてはauthor.phpテンプレートを使っていない場合はauthor.phpにトップページへのリダイレクトをかけるとひとまず良いでしょう。

実はWordPress利用ブログのほとんどがユーザー名もろバレな件 – 対処法紹介します

 

3.管理画面(ダッシュボード)にアクセス制限をかける

WordPressのダッシュボードに入るには以下のアドレスにアクセスします。

 

https://hogehoge/wp/wp-login.php

 

このファイル自体にベーシック認証、またはIP制限をかければ良いわけです。
(※ディレクトリ「wp-admin」に制限をかけるような記述がありますが、ajaxを利用している場合通信ができなくなります。)

 

IPアドレスで許可する場合(apache)WordPressの.htaccessに以下のように書く(xmlrpc.phpも)

 

ベーシック認証でアクセス制限 Apache(.htaccess)