Help us understand the problem. What is going on with this article?

WordPressを(レンタルサーバーで)実運用する際の注意点

More than 1 year has passed since last update.

背景

悲しいながらWordPressをレンタルサーバーで運用する案件が出てきました。

まとめ

  • 使えるならFTPよりもSFTP
  • バックアップファイルはすぐに削除する
  • 可能なら2段階認証をかける
  • 管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける
  • WordPressは常に最新版に更新する
  • プラグインも常に最新版に更新する
  • 管理者ID・投稿者IDを非表示にする
  • RestAPIをOFFにする

使えるならFTPよりもSFTP

FTPだとUserとPasswordがバレたら簡単に乗っ取られてしまいます。
可能であればと言うか可能な限りSFTPを推奨します。

バックアップファイルはすぐに削除する

FTPやSFTPだとバックアップファイルに Hoge.php-- みたいなのを一時的に置く場合が多々あると思います。
しかしながらWordPressは全てのファイルが基本ドキュメントルート配下です。拡張子が .phpじゃない場合は、閲覧可能です。バックアップファイルはすぐに削除しましょう。拡張子が.php--とかそもそも

可能なら2段階認証をかける

万が一管理者IDとパスワードが漏れても、2段階認証を実施していれば、基本的に乗っ取りはされません。多分

管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける

管理会社・運営会社・開発会社が分れていて、2段階認証ができない場合もあります。
その場合は管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかけるようにしましょう。

WordPressは常に最新版に更新する

プラグインも常に最新版に更新する

言わずもがな。常に脆弱性が発見されているので、更新しましょう。

管理者ID・投稿者IDを非表示にする

${domain}/?author=${id}をつけると、デフォルトで構築されているサイトの管理者ID見えます。またPostにも投稿者IDが表示されます。
こう言うのこんなサイトを参考に、管理者ID・投稿者IDを非表示にしましょう。

RestAPIをOFFにする

余計なものが全部丸見えになるので、OFFにしましょう。

そもそも

その案件WordPress必要ですか?

参考

https://www.wpbeginner.com/wp-themes/how-to-remove-author-name-from-wordpress-posts

https://blog.saboh.net/authorpagenone

良い情報があれば教えてください。

追加

良参考記事
Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断

ProjectEuropa
PHPとかJavaScriptとか
yyphp
PHPerが毎週集まり、ざっくばらんに情報交換する雑談コミュニティ
https://yyphp.connpass.com/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした