WordPressでサイトを作る際に、セキュリティーを高める方法を調べてみました。
- テーブルの接頭語を「wp_」以外の名前にする
- 管理者用のユーザー名を「admin」以外の名前にする
- 管理画面をSSLで保護する
テーブルの接頭語を「wp_」以外の名前にする
WordPressをインストールする際にテーブルの接頭語を指定する場面があります。
デフォルトでは「wp_」と入力されていますが、この接頭語をそのまま使うと、そのサイトで使用しているデータベースのテーブル名が全て明らかになってしまいます。そうなると、サイト攻撃者にとっては攻撃しやすくなります。
なので、接頭語を「wp_」とは別の名前にすることによって、サイトで使用しているテーブル名が分からないようにします。
管理者用のユーザー名を「admin」以外の名前にする
これも、WordPressをインストールする際に決めるものですが、デフォルトでは「admin」となっています。
これもそのまま使用した場合、サイト攻撃者にとっては1つ情報が明らかになっているわけですから、攻撃しやすくなります。
ということで、管理者用のユーザー名は「admin」以外の名前に設定しておいた方が良さそうです。
管理用ログイン画面をSSLで保護する
デフォルトでは管理用ログイン画面は通常のHTTP接続で表示されますが、この場合はパスワードなどがそのままネット上を流れることになります。
そのため、ネット上の通信を傍受された場合、パスワードが漏えいすることになります。
そこで、「Admin SSL」や「WordPress HTTPS」といったプラグインを使用して管理画面をSSL接続で保護します。
他にもまだまだありそうなので、セキュリティー対策を見つけ次第更新していきたいと思います。