WordPressの基本的なセキュリティ

以下は、WordPressサイトを攻撃から保護するためのセキュリティ対策です。

1. ログインセキュリティ

• 強力なパスワードを使用: 大文字、小文字、数字、特殊文字を組み合わせる。
• ログイン試行回数を制限: Limit Login Attempts Reloaded などのプラグインを使用。
• 二要素認証 (2FA) の有効化: Google Authenticator や Wordfence などのプラグインを使用。
• ログインURLの変更: WPS Hide Login などのプラグインでデフォルトの /wp-login.php パスを変更。

2. 定期的なアップデート

• WordPress、テーマ、プラグインの更新: 常に最新バージョンを使用する。
• 不要なプラグインの削除: 不要なプラグインはセキュリティ上の脆弱性となる可能性がある。

3. 設定ファイルとアクセス権限の保護

• wp-config.php ファイルを保護: ルートディレクトリから移動するか、適切なアクセス権限を設定する。
• ファイルの権限を正しく設定: ファイルには 644、ディレクトリには 755 を使用。
• 管理画面からのファイル編集を無効化: wp-config.php に以下の行を追加。

define('DISALLOW_FILE_EDIT', true);

4. 定期的なバックアップ

• UpdraftPlus や BackupBuddy などのプラグインでバックアップを実施する。

5. データベースセキュリティ

• デフォルトのテーブル接頭辞を変更: wp_ ではなくカスタム接頭辞を使用。
• MySQLの強力なパスワードを使用: データベースパスワードは推測が難しいものにする。

6. HTTPS (SSL) の有効化

• SSL証明書を使用して、ユーザーとサーバー間の接続を暗号化する。

7. ブルートフォース攻撃とDDoS攻撃の防止

• Cloudflare などのWebアプリケーションファイアウォール (WAF) または Wordfence などのプラグインを使用。
• IPアクセス制限: .htaccess ファイルで不要なIPアクセスをブロックまたは制限する。

8. セキュリティ監視

• Sucuri Security や Wordfence などのツールを使用してマルウェア検出や不審な活動を監視する。

9. WordPressバージョンの非表示

• ソースコードからバージョン情報を削除するため、functions.php に以下を追加

remove_action('wp_head', 'wp_generator');

10. セキュアなホスティングプロバイダーを利用

• 自動バックアップ、攻撃監視、DDoS保護などのセキュリティ機能を備えたホスティングサービスを選択する。

これらの方法を適用することで、WordPressサイトのセキュリティを大幅に強化できます。