search
LoginSignup
4

More than 3 years have passed since last update.

posted at

updated at

Organization

WordPressを(レンタルサーバーで)実運用する際の注意点

背景

悲しいながらWordPressをレンタルサーバーで運用する案件が出てきました。

まとめ

  • 使えるならFTPよりもSFTP
  • バックアップファイルはすぐに削除する
  • 可能なら2段階認証をかける
  • 管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける
  • WordPressは常に最新版に更新する
  • プラグインも常に最新版に更新する
  • 管理者ID・投稿者IDを非表示にする
  • RestAPIをOFFにする

使えるならFTPよりもSFTP

FTPだとUserとPasswordがバレたら簡単に乗っ取られてしまいます。
可能であればと言うか可能な限りSFTPを推奨します。

バックアップファイルはすぐに削除する

FTPやSFTPだとバックアップファイルに Hoge.php-- みたいなのを一時的に置く場合が多々あると思います。
しかしながらWordPressは全てのファイルが基本ドキュメントルート配下です。拡張子が .phpじゃない場合は、閲覧可能です。バックアップファイルはすぐに削除しましょう。拡張子が.php--とかそもそも

可能なら2段階認証をかける

万が一管理者IDとパスワードが漏れても、2段階認証を実施していれば、基本的に乗っ取りはされません。多分

管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかける

管理会社・運営会社・開発会社が分れていて、2段階認証ができない場合もあります。
その場合は管理ログイン画面(wp-login.php)、設定ファイル(wp-cofig.php)、管理ディレクトリ配下(/wp-admin)はBasic認証とIP制限をかけるようにしましょう。

WordPressは常に最新版に更新する

プラグインも常に最新版に更新する

言わずもがな。常に脆弱性が発見されているので、更新しましょう。

管理者ID・投稿者IDを非表示にする

${domain}/?author=${id}をつけると、デフォルトで構築されているサイトの管理者ID見えます。またPostにも投稿者IDが表示されます。
こう言うのこんなサイトを参考に、管理者ID・投稿者IDを非表示にしましょう。

RestAPIをOFFにする

余計なものが全部丸見えになるので、OFFにしましょう。

そもそも

その案件WordPress必要ですか?

参考

良い情報があれば教えてください。

追加

良参考記事
Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
4