mimu-mimu

ブログ

  • 設定変更

    ボットなどから攻撃の対策として対象とされやすいファイル名の変更や無効化を行う。

    1.ログインURLの変更

    管理画面のログインURL「wp-login.php」を別のパスに変更

    ログインID

    「admin」は危険。別のIDにした方が良い。

    ログインの試行回数

    デフォルトは「無制限」になっているため、総当たりでログインできるまで試行できる。(ブルーフォース攻撃といいます)

    試行回数を設け、ロックがかかるようにしたほうが良い。

    2.XML-RPCを無効化

    「xmlrpc.php」がブルーフォース攻撃に悪用されやすいため、無効化した方が良い。

    .htaccessもしくはプラグインで無効化

    .htaccess

    <Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

    3.バージョン情報の非表示

    デフォルトでソース内にあるバージョン番号が記載されるようになっています。
    表示されないように対応した方が良い。

    function.php

    remove_action('wp_head', 'wp_generator');

    4.ディレクトリ一覧を無効化

    フォルダの中を閲覧できないようにする

    .htaccess

    Options -Indexes

    5.wp-config.phpを守る

    データベースの接続情報、データベースのパスワード、セキュリティキーなど重要な情報を管理しているファイルです。

    読み取れる=乗っ取れる。なので守りましょう。

    5-1.閲覧できなくする(.htaccess)

    <files wp-config.php>
order allow,deny
deny from all
</files>

    5-2.編集できなくする

    wp-config.phpの1行目に下記を記載することで管理画面のエディタが非表示となります。
    ・外観 テーマファイルエディタ
    ・プラグイン プラグインファイルエディタ

    これにより悪意のあるコードを埋め込まれたるなどの書き換えができなくなります。

    define('DISALLOW_FILE_EDIT', true);

  • 自サイト制作開始

    私は制作会社で働いています。

    ディレクション、フロントエンド、カスタマーサポートと、業務が多岐のため、メインが何かわからなくなっています。

    長らく放置していたサーバにWordPressを設置しました。
    会社でWordPressを使用していないため、学習も兼ねて選びました。

    サイトを立ち上げていましたが、デザインをどうしようと悩んでいる内に頓挫していたので、今回は先に記事を作成していくことにしました。
    記事を作成しつつ、少しずつ見た目をカスタマイズしていけばいいかな。と。

    試しに入れたプラグインのレビューなどもできればいいかな。

    主に備忘録のを作成しつつ、コンテンツを拡充していきたいと考えています。

    WordPressをインストールし、「Twenty-twentyfive」のテーマを使用しています。

    現状はサンプルページ、投稿を削除して整えただけです。