WordPressを使うようになって、セキュリティが気になってきました。
まず、ログイン時のセキュリティ対策を行ってみました。
1.ログインURLの変更
ログインURLを変更します。
デフォルトでは、「wp-login.php」か「admin」ですが、
ソースを読めばWordpressを利用していることがばれるので、
誰でも簡単にアクセス出来てしまいます。
このサイトがうまくまとまっていたので、ここを参考にログインURLの変更と
Basic認証を行えばよいかと思います。
2.adminユーザの削除
adminユーザが作成されたままだと、
攻撃者にユーザ名がわかってしまっている状態なので非常に危険です。
削除方法は、admin以外の管理者がいる場合は、そのユーザでログインを行い、
管理画面のユーザメニューから、adminを削除します。
もし、admin以外の管理者がいない場合は、管理画面のユーザメニューから
admin以外の管理者を作成し、そのユーザでログインしてからadminを削除します。
3.ログイン時のパスワード回数制限
ログイン時のパスワード制限をかけることでセキュリティレベルがアップします。
これは、プラグインで行うのがお勧めです。
おすすめは「Limit Login Attempts 」
こちらを利用すれば簡単にログイン時に回数制限をかけることができます。
上記3つを行えば、かなり高いセキュリティレベルになります。
WordPressは無料で使え、広く活用されていますが、
それゆえにアタックも多く、セキュリティは常に意識して運用していきたいです。
