ボットなどから攻撃の対策として対象とされやすいファイル名の変更や無効化を行う。
1.ログインURLの変更
管理画面のログインURL「wp-login.php」を別のパスに変更
ログインID
「admin」は危険。別のIDにした方が良い。
ログインの試行回数
デフォルトは「無制限」になっているため、総当たりでログインできるまで試行できる。(ブルーフォース攻撃といいます)
試行回数を設け、ロックがかかるようにしたほうが良い。
2.XML-RPCを無効化
「xmlrpc.php」がブルーフォース攻撃に悪用されやすいため、無効化した方が良い。
.htaccessもしくはプラグインで無効化
.htaccess
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>3.バージョン情報の非表示
デフォルトでソース内にあるバージョン番号が記載されるようになっています。
表示されないように対応した方が良い。
function.php
remove_action('wp_head', 'wp_generator');4.ディレクトリ一覧を無効化
フォルダの中を閲覧できないようにする
.htaccess
Options -Indexes5.wp-config.phpを守る
データベースの接続情報、データベースのパスワード、セキュリティキーなど重要な情報を管理しているファイルです。
読み取れる=乗っ取れる。なので守りましょう。
5-1.閲覧できなくする(.htaccess)
<files wp-config.php>
order allow,deny
deny from all
</files>5-2.編集できなくする
wp-config.phpの1行目に下記を記載することで管理画面のエディタが非表示となります。
・外観 テーマファイルエディタ
・プラグイン プラグインファイルエディタ
これにより悪意のあるコードを埋め込まれたるなどの書き換えができなくなります。
define('DISALLOW_FILE_EDIT', true);