WordPress Security Checklist

WordPress のウェブサイトのセキュリティを強化するために行うべきチェックリスト

Checklist Blog

ja-JP

WordPress で稼働しているウェブサイトがハッキングされる原因は WordPress にあるわけではなく、そのほとんどが開発中に回避できるいくつかの設定ミスによるものです。あなたのウェブサイトのセキュリティを高めるために取るべき行動のチェックリストであること、それがこのプロジェクトの考えです。

ログイン画面

繰り返しログインに失敗したらログイン画面にロックをかける (Login Lockdown , iThemes Security )
2段階認証を有効にする (Google Authenticator)
ユーザー名の代わりにメールアドレスをログインに使う (Force Login With Email)
ログイン画面の URL を変更する (iThemes Security または .htaccess に直接記述)
テーマからログイン画面へのリンクを削除する (もし入っていれば)
全てのアカウントに対して大文字、小文字、数字、特殊文字を含む強力なパスワードを使う (password generator)
定期的にパスワードを変更する
ログインエラーメッセージを汎用的なものにする (ユーザー名/パスワード) (チュートリアル)

管理画面

wp-admin ディレクトリをパスワード保護する (必要なファイルのみブロックを解除)
WordPress を最新版にアップデートする
admin という名前でユーザーを作成しない。もしある場合、そのアカウントは削除して新しい管理者ユーザーを作成する
編集者権限のユーザーを作成し、コンテンツの公開はそのユーザーを使用する
管理画面のアクセスには SSL を使用する
ファイルの変更をチェックするプラグインをインストールする (WP Security Scan, Wordfence , iThemes Security)
ウィルス、マルウェア、セキュリティ侵害に対してウェブサイトをスキャンする

テーマ

テーマを最新版にアップデートする
使っていないテーマを削除する
信頼できるソースからテーマをダウンロードして使用する
テーマから WordPress バージョンの表記を削除する (チュートリアル)

プラグイン

全てのプラグインを最新版にアップデートする
使っていないプラグインを削除する
信頼できるソースからプラグインをダウンロードして使用する
古いプラグインは代わりとなる新しいプラグインに置き換える
たくさんプラグインをインストールする前によく考える

データベース

デフォルトのテーブル接頭辞を変更する (チュートリアル)
データベースバックアップを週単位でスケジュールする (Backup WP, WP DB Backup など )
データベースのユーザーに対して大文字、小文字、数字、特殊文字を含む強力なパスワードを使う (password generator)

ホスティングサービス

信頼できるホスティングサービスを借りる
サーバへの接続は SFTP か SSH を使用する
全てのディレクトリのパーミッションを 755、ファイルのパーミッションを 644 に設定する (Codex より)
wp-config.php ファイルが他者からアクセスできないことを確認する
license.txt, wp-config-sample.php, readme.html ファイルは削除するか .htaccess でアクセスをブロックする
wp-config.php に次のコードを追加してファイル編集機能を使用不可にする: define('DISALLOW_FILE_EDIT',true);
.htaccess に次のコードを追加してディレクトリ一覧の表示を防ぐ: Options All -Indexes

rafaelfunchal
rafaelfunchal

Would you like to improve the checklist? Don’t cry, commit!

Get our app!