ロリポップサーバーでWordPressのハッキングがあったのでセキュリティー対策についてまとめています。
パーミッション
WordPressに限った話ではないですがパーミッション(権限)の設定は非常に大事です。
ユーザー名、パスワード、データベース名、暗号化複合化のキーなどが記述しているファイルはデフォルトのままの権限ではなく呼び出しだけなど400番代の権限に設定しましょう。
defineで定義されている定数のファイルの事です。
余談ですが定数として定義されているファイルは大まかにですがconfig.phpやconst.phpと言うファイル名が多いです。
特定されにくいパスワードを使う
誕生日や名前など忘れないように付けてる方も多いと思いますがなるべく分かりずらいパスワードを設定しましょう。
ランダムの英数字が一般的です。
ユーザー名もadminやrootなどに設定するのもやめましょう。
ランダム文字列生成
<?php $rand = md5(uniqid(rand(), true)); echo $rand;
WordPress自動インストールを利用しない
WordPressはダウンロードしてFTPサーバーにあげれば機能するので自分でアップロードするのがお勧めです。
アップロードする際にwp-config.phpの権限を400番台に設定するのをお忘れなく。
wp-config.phpでデータベース名、ユーザー名、パスワード、ホスト名などもデフォルトのままではなく設定するのもセキュリティー強化に繋がります。
定期的にバックアップを取る
ファイルを変更したり、記事を更新したり、画像などアップロードした際には必ずバックアップを取りましょう。
私はローカルに1つとサーバーに1つでバックアップを取っていますが1つでもバックアップがあれば大丈夫でしょう。
なにか何か問題が起きた際前の状態に戻す事がなにより重要です。