| layout | title | permalink | language | subset |
|---|---|---|---|---|
page |
ja-JP |
/ja/items/ |
ja |
root |
WordPress で稼働しているウェブサイトがハッキングされる原因は WordPress にあるわけではなく、そのほとんどが開発中に回避できるいくつかの設定ミスによるものです。 あなたのウェブサイトのセキュリティを高めるために取るべき行動のチェックリストであること、それがこのプロジェクトの考えです。
- 繰り返しログインに失敗したらログイン画面にロックをかける (Login Lockdown{:target="_blank"} , iThemes Security{:target="_blank"} )
- 2段階認証を有効にする (Google Authenticator{:target="_blank"})
- ユーザー名の代わりにメールアドレスをログインに使う (Force Login With Email{:target="_blank"})
- ログイン画面の URL を変更する (iThemes Security{:target="_blank"} または .htaccess に直接記述)
- テーマからログイン画面へのリンクを削除する (もし入っていれば)
- 全てのアカウントに対して大文字、小文字、数字、特殊文字を含む強力なパスワードを使う (password generator{:target="_blank"})
- 定期的にパスワードを変更する
- ログインエラーメッセージを汎用的なものにする (ユーザー名/パスワード) (チュートリアル{:target="_blank"})
- wp-admin ディレクトリをパスワード保護する (必要なファイルのみブロックを解除{:target="_blank"})
- WordPress を最新版にアップデートする
- admin という名前でユーザーを作成しない。もしある場合、そのアカウントは削除して新しい管理者ユーザーを作成する
- 編集者権限のユーザーを作成し、コンテンツの公開はそのユーザーを使用する
- 管理画面のアクセスには SSL を使用する
- ファイルの変更をチェックするプラグインをインストールする (WP Security Scan{:target="_blank"}, Wordfence{:target="_blank"} , iThemes Security{:target="_blank"})
- ウィルス、マルウェア、セキュリティ侵害に対してウェブサイトをスキャンする
- テーマを最新版にアップデートする
- 使っていないテーマを削除する
- 信頼できるソースからテーマをダウンロードして使用する
- テーマから WordPress バージョンの表記を削除する (チュートリアル{:target="_blank"})
- 全てのプラグインを最新版にアップデートする
- 使っていないプラグインを削除する
- 信頼できるソースからプラグインをダウンロードして使用する
- 古いプラグインは代わりとなる新しいプラグインに置き換える
- たくさんプラグインをインストールする前によく考える
- デフォルトのテーブル接頭辞を変更する (チュートリアル{:target="_blank"})
- データベースバックアップを週単位でスケジュールする (Backup WP{:target="_blank"}, WP DB Backup{:target="_blank"} など )
- データベースのユーザーに対して大文字、小文字、数字、特殊文字を含む強力なパスワードを使う (password generator{:target="_blank"})
- 信頼できるホスティングサービスを借りる
- サーバへの接続は SFTP か SSH を使用する
- 全てのディレクトリのパーミッションを 755、ファイルのパーミッションを 644 に設定する (Codex より{:target="_blank"})
- wp-config.php ファイルが他者からアクセスできないことを確認する
- license.txt, wp-config-sample.php, readme.html ファイルは削除するか .htaccess でアクセスをブロックする
- wp-config.php に次のコードを追加してファイル編集機能を使用不可にする:
define('DISALLOW_FILE_EDIT',true); - .htaccess に次のコードを追加してディレクトリ一覧の表示を防ぐ:
Options All -Indexes