WordPress インストールをチェックしてセキュリティ保護するには:
注意: すべてのセキュリティ強化項目がロールバックできるとは限りません。WordPress インストールをセキュリティ保護する前に、該当する契約のバックアップをとることをお勧めします。
wp-content
ディレクトリには、安全ではない PHP ファイルが格納されている可能性があります。そのようなファイルはサイトに被害を与える恐れがあります。WordPress のインストール後、wp-content
ディレクトリから PHP ファイルを実行できるようになります。このセキュリティチェックは、wp-content
ディレクトリにある PHP ファイルの実行が禁止されていることを確認します。.htaccess
または web.config
ファイル内のカスタムディレクティブにより、このセキュリティ保護がオーバーライドされる可能性があります。また、wp-content フォルダが保護された後に、一部のプラグインが機能を停止する場合もあります。wp-includes
ディレクトリには、安全ではない PHP ファイルが格納されている可能性があります。そのようなファイルは、サイトに被害を与える恐れがあります。WordPress のインストール後は、wp-includes
ディレクトリから PHP ファイルを実行できるようになります。このセキュリティチェックは、wp-includes
ディレクトリにある PHP ファイルの実行が禁止されていることを確認します。.htaccess
または web.config
ファイル内のカスタムディレクティブにより、このセキュリティ保護がオーバーライドされる可能性があります。また、wp-includes フォルダをセキュリティ保護すると、一部のプラグインが機能を停止する可能性があります。wp-config.php
ファイルには、データベースアクセス用のクレデンシャルやその他の機密情報が格納されます。WordPress のインストール後、wp-config.php
ファイルを実行できるようになります。何らかの理由で、ウェブサーバによる PHP ファイルの処理が無効になると、ハッカーが wp-config.php
ファイル内のコンテンツにアクセスできるようになります。このセキュリティチェックは、wp-config.php
ファイルへの許可されないアクセスがブロックされていることを確認します。.htaccess
または web.config
ファイル内のカスタムディレクティブにより、このセキュリティ保護がオーバーライドされる可能性があります。データベースプレフィックス:
WordPress データベーステーブルは、すべての WordPress インストールで同じ名前になります。データベーステーブル名のプレフィックスに標準の「wp_
」が使用されていると、WordPress データベース全体の構造が秘密ではなく、誰でも任意のデータを取得することができます。このセキュリティチェックによって、データベーステーブル名のプレフィックスが「wp_
」以外に変更されます。メンテナンスモードが有効になり、すべてのプラグインが非アクティブ化され、プレフィックスが構成ファイルで変更されます。次に、プレフィックスがデータベースで変更され、プラグインが再アクティブ化されて、パーマリンク構造が再表示された後、メンテナンスモードが無効になります。セキュリティキー:
WordPress では、ユーザの Cookie に保存される情報を暗号化するために、セキュリティキー(AUTH_KEY
、SECURE_AUTH_KEY
、LOGGED_IN_KEY
、および NONCE_KEY
)が使用されます。適切なセキュリティキーとしては、長さが 60 文字以上で、ランダムかつ複雑でなければなりません。このセキュリティチェックは、セキュリティキーがセットアップされており、少なくともアルファベットと数字の両方が含まれていることを確認します。ファイルとディレクトリのパーミッション:
ファイルとディレクトリのパーミッションがセキュリティポリシーに反していると、これらのファイルがサイトのハッキングに悪用されてしまう恐れがあります。WordPress をインストールすると、ファイルとディレクトリに様々なパーミッションが付与されます。このセキュリティチェックは、wp-config.php
ファイルのパーミッションが 600
に、その他のファイルのパーミッションが 644
に、ディレクトリのパーミッションが 755
に設定されていることを確認します。管理者のユーザ名:
WordPress のコピーをインストールすると、管理者権限を持つユーザの名前がデフォルトで「admin
」になります。ユーザ名は WordPress で変更できないため、パスワードを推測するだけで、管理者としてシステムにアクセスすることができます。そのため、このセキュリティチェックは、管理者権限を持つ「admin
」という名前のユーザがいないことを確認します。バージョン情報:
WordPress の各バージョンには、既知のセキュリティ脆弱性があります。このため、WordPress インストールのバージョンを表示すると、ハッカーが攻撃しやすくなります。保護されていない WordPress インストールのバージョンは、ページのメタデータと readme.html
ファイルで確認することができます。このセキュリティチェックは、すべての readme.html
ファイルが空で、すべてのテーマに functions.php
ファイルがあり、「 remove_action(\'wp_head\', \'wp_generator\');
」という行が含まれていることを確認します。