背景
悲しいながらWordPressをレンタルサーバーで運用する案件が出てきました。
まとめ
- 使えるならFTPよりもSFTP
- バックアップファイルはすぐに削除する
- 可能なら2段階認証をかける
- 管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける
- WordPressは常に最新版に更新する
- プラグインも常に最新版に更新する
- 管理者ID・投稿者IDを非表示にする
- RestAPIをOFFにする
使えるならFTPよりもSFTP
FTPだとUserとPasswordがバレたら簡単に乗っ取られてしまいます。
可能であればと言うか可能な限りSFTPを推奨します。
バックアップファイルはすぐに削除する
FTPやSFTPだとバックアップファイルに Hoge.php-- みたいなのを一時的に置く場合が多々あると思います。
しかしながらWordPressは全てのファイルが基本ドキュメントルート配下です。拡張子が .phpじゃない場合は、閲覧可能です。バックアップファイルはすぐに削除しましょう。拡張子が.php--とかそもそも
可能なら2段階認証をかける
万が一管理者IDとパスワードが漏れても、2段階認証を実施していれば、基本的に乗っ取りはされません。多分
管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける
管理会社・運営会社・開発会社が分れていて、2段階認証ができない場合もあります。
その場合は管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかけるようにしましょう。
WordPressは常に最新版に更新する
プラグインも常に最新版に更新する
言わずもがな。常に脆弱性が発見されているので、更新しましょう。
管理者ID・投稿者IDを非表示にする
${domain}/?author=${id}をつけると、デフォルトで構築されているサイトの管理者ID見えます。またPostにも投稿者IDが表示されます。
こう言うのやこんなサイトを参考に、管理者ID・投稿者IDを非表示にしましょう。
RestAPIをOFFにする
余計なものが全部丸見えになるので、OFFにしましょう。
そもそも
その案件WordPress必要ですか?
参考
良い情報があれば教えてください。