セキュリティ向上の設定
ホームページの運営で十分に注意し、意識しなければならないのはセキュリティです。
このページではWordPress(ワードプレス)のセキュリティを向上させる方法をいくつか紹介します。
最新のバージョンにアップデートする
セキュリティフィックスが含まれるアップデートは基本的に速やかに適応します。
セキュリティ向上の一番の基本です。
管理者ユーザーのパスワードを変更する
パスワードをより強固なものに変更します。
文字数が長く、英数記号が複雑並べられたものほど強固になります。
管理画面内の「あなたのプロフィール」でパスワードを変更できます。
WordPress(ワードプレス)の最近のバージョンには、パスワードの強度を調べてくるものがありますので、「良」になるようにしたほうが良いでしょう。
文字数が多くても数字だけでは弱くなります。
数字、英字小文字、英字大文字、記号を組み合わせて強くしていきます。
フォルダ内のファイル一覧を表示させない
URLにフォルダを指定すると、そのフォルダ内のファイルが全部見えてしまうことがあります。
空のindex.htmlファイルを置いておけば、そのようなことはありません。
しかし、全てのフォルダにindex.htmlファイルを置くのは大変です。
そこで、.htaccessファイル内に次の一行を追加します。
Options -Indexes
これで、フォルダ内を一覧で閲覧出来てしまう情報を防ぐことが出来ます。
WordPress(ワードプレス)のバージョンを開示しない
多くのテーマファイルでは、WordPress(ワードプレス)のバージョンのmeta情報として載せています。
セキュリティ問題のあるバージョンの場合、バージョンを知られることで攻撃方法を教えてしまうことになります。
攻撃方法のヒントを与えないようにバージョン情報は隠しましょう。
wp-content/themes/ファイル内のテーマフォルダ内にあるheader.phpをチェックします。
<meta content="WordPress <?php bloginfo(’version’); ?>" name="generator" />
このような表記がある部分を削除または、<?php bloginfo(’version’); ?>を削除します。
管理用のファイル・ページを検索エンジンにキャッシュさせない
wp-で始まるファイルはWordPress(ワードプレス)が動作用または管理者用のプログラムファイルです。
そのため検索エンジンに記録されないように指定します。
まずサイトのトップデレクトリーにrobots.txtというファイルを作成します。
このrobots.txtの中に
User-agent: * Disallow: /wp-*
と表記します。
この設定によって、検索エンジンはwp-で始まるファイルをキャッシュしないようになります。
最後に…
WordPress(ワードプレス)のセキュリティを向上させる方法はたくさんあります。
その中で、とりあえず簡単に出来るものを紹介しました。