WordPressのセキュリティチェック項目一覧です。
最近WordPressを使った要件がますます増えてきたのですが、そんな中でセキュリティチェックはルーチンワークとなっています。
オープンソースとして、活用事例も格段に多いWordPressですが、それに伴い攻撃の対象となりやすいのも事実です。ここで今一度、そのセキュリティの精度を確保するために、チェック項目一覧としてまとめてみます。
インストール編
WordPressインストール時に気をつけたいセキュリティチェック項目の一覧です。
WordPressインストールディレクトリの変更 | WordPress本体のインストールディレクトリはルートにせずに、任意のディレクトリに設置しましょう。また、ディレクトリ名は「wordpress」や「wp」などとせずに、連想されないディレクトリ名にしましょう。 |
---|---|
テーブルプレフィックスをデフォルトから変更する | インストール時、デフォルトで生成されるDB内のテーブル名プレフィックスは「wp_」です。データベースを攻撃の対象とされた場合の対策として別のプレフィックスに変更しましょう。 |
SSL通信を適用する | ログイン画面、管理画面にはSSLを適用して、通信を暗号化しましょう。 |
ユーザ名を「admin」などとしない | 不正ログインを防ぐため、ユーザ名を「root」や「kanri」などにしない。特に、以前のバージョンでデフォルト管理ユーザ名である「admin」にはしない。 |