WordPressのセキュリティ

Home » tips » WordPressのセキュリティ

WordPressのセキュリティは「ソフトウェア本体」「テーマ・プラグイン」「データベース」「運用管理」から検討することが必要です。「ソフトウェア本体」や「テーマ・プラグイン」の対策はほとんど、設定とバージョンアップで提供されますが、「データベース」や「運用管理」の対策は通常のWebサイトメンテナンスに通じるものがほとんどです。

また、セキュリティを重視することで、サイトの運用効率が悪化するのも問題です。要求されるセキュリティ条件と運用条件とをバランス良く設定して、セキュリティ対策をするのが肝要です。

WordPressのセキュリティ対策用のプラグイン：「WP Security Scan」

１．ソフトウェア本体（WordPressコア）のセキュリティ

１）常に新しいバージョンのWordPressを使用します。

WordPressは年に数回のバージョンアップがおこなわれています。当然、セキュリティ対策の機能向上も含まれています。セキュリティ対策上、常に新しいバージョンにしておきましょう。

２）ディレクトリ（「wp-admin」や「wp-content」等）を保護する。

WordPress本体のディレクトリ（「wp-admin」や「wp-content」等）内のファイルに管理者以外のユーザーがアクセスできないように必要に合わせて、アクセス制限をおこないます。

特に、「wp-admin」内のファイルは管理用なので、必要に応じて、「.htaccess」ファイルを「wp-admin」に設定し、IPの制限やパスワードの制限をします。

また、「wp-content」内のファイルにはテーマとプラグインなどのサイト特有の情報があります。このため、各ファイルにアクセスできないように制限をします。「.htaccess」を「wp-content」に設定します。

３）「wp-config.php」のセキュリティ設定。

(1)セキュリティキーを設定します。

ファイルに記述する認証用ユニークキー（ユニークな文字列）を設定します。

(2)テーブル名の接頭辞（$table_prefix）を「wp_」以外のものに変更します。

デフォルトのテーブル名の接頭辞「wp_」もデフォルトの情報です。インストール時に任意のユニークな接頭辞に変更します。

(3)「wp-config.php」のアクセス制限

「wp-config.php」にはWordPressサイト情報が記述されている大切なファイルです。当然、アクセスできないように制限をします。また、ファイル内容は非公開にします。

２．テーマ・プラグインのセキュリティ

１）常に新しいテーマやプラグインを使用します。

WordPressと同様に、テーマやプラグインも高い頻度でバージョンアップしています。本体と同じく、できるだけバージョンアップを心掛けましょう。

２）WordPressのバージョンを表示しない。

外部からWordPressのバージョンが分からないようにするために、head内のバージョン表示をしないようにします。

WordPressのバージョン表示のテンプレートタグを削除します。また、公開されているテーマを使用している場合はテーマファイルの「functions.php」に削除の関数を指定します。

関連情報： functions.php／WordPressのバージョンを表示しない

<php
//generator非表示
remove_action('wp_head', 'wp_generator');
//wlwmanifest非表示
remove_action('wp_head', 'wlwmanifest_link');
//rsd_link非表示
remove_action('wp_head', 'rsd_link');
?>