フォノクラフト株式会社:作業メモや備忘録など

作業メモや備忘録など…

[WP]インストール前から気をつけること(セキュリティ的観点から)

without comments

前置き

wordpressのセキュリティレベルを少しでもを上げる為に、インストール前に確認しておきたいこと。
特にDBのプレフィックスなど後から変更しにくいものもあるので事前に意識しておく。

何れも“気休め”程度にしかならないかも知れない。
しかし1%でもセキュリティレベルが上がれば…と願いつつ。

確認項目

1.インストール時に気をつけること

  1. 必ず最新のwordpressで構築する(※1)
  2. DBのプレフィックス(Prefix)をデフォルトの「wp_」から乱数などに変更する
  3. 管理者名を「admin」のままにしない
  4. 管理者パスワードは乱数などの「複雑なもの」にする

※1:
使い慣れた、または有用なプラグインが最新バージョンに対応していないので最新版が使えない…といった場合もあるが、極力最新版を使う様に心がけたい

2.インストール直後に行っておくこと

  1. /wp-admin ディレクトリ直下に ベーシック認証(.htaccess/.htpasswd)を設定する
  2. /wp-config.php にセキュリティキーを設定する
  3. /wp-config.php や /.htaccess はパーミッションを444(Read Only)にしておく
  4. セキュリティ関連のプラグイン『Secure WordPress』等を入れておく(下記参照)
  5. プラグイン『Akismet』を有効にしておく(WordPress.comでAPI keyを取得する)
  6. デフォルトのサンプル固定ページとコメントは削除(メッセンジャー云々、ゴッサム云々、という固定ページ….)

3.運用中に行うこと、心がけること

  1. 可能な限り新しいバージョンのWordPressを更新しつづける
  2. 定期的にDBやwordpress本体のバックアップを取っておく
  3. プラグイン『admin-ip-watcher』から送られてくるメールを注視する

4.その他(ガンプラー対策も含めて)

  1. FTP接続ではなく、FTPS(FTP-SSL )やSFTPで接続する
  2. FTPクライアント『FFFTP』は使用しない(SFTPに対応していない、また攻撃されやすい為)
  3. 可能な限りWindows以外のOSで作業する(ウィルスに感染しにくい為)

もしファイル改ざんされてしまったら、真っ先に行う事

まず発見した時点で

  1. 解決する迄、一時的にサイトをクローズする(訪問者に被害が及ぶ可能性が高い為)

次に

  1. WordPressを最新のバージョンにアップデートする
  2. プラグイン等の関係でアップデートが無理ならばgrep等で「base64」というキーワードでwordpress全体を検索し該当箇所を潰す。htmlファイルには妙なJSが埋め込まれていることがある。.htaccessにも妙な埋め込みもある。他にphp自体の改ざん等いろいろある。。。。)
  3. 管理画面などのパスワードを変更する

wordpressセキュリティに関する、有益なサイト