WordPressのセキュリティを向上させる設定

WordPressのセキュリティを向上させるいくつかのポイントを説明します。WordPressはバージョンアップを経るごとにセキュリティが向上されており、デフォルトで使用しても特に問題がないかもしれません。

しかし、少しでもWordPressを安全に使用できるようにできるセキュリティ対策はぜひ行っておきたいところです。

ここでは、WordPressのセキュリティを少しでも向上させる設定の方法を簡単にご紹介します。

wp-config.phpの設定

WordPressのインストール時に生成されるwp-config.phpを編集します。41行目あたりに以下のような文章が書いてあると思います。WordPressのバージョンによっては異なる場合がありますが、似ている箇所を探してください。

http://api.wordpress.org/secret-key/1.1/にアクセスするとランダムに生成された文字列が表示されるので、それをコピーアンドペーストで該当箇所に貼り付けて保存してください。

ログイン中だった場合、自動的にログアウトされるので再度ログインしてください。

パスワードは複雑なものにする

管理者ユーザーのパスワードは必ず、大文字と小文字のアルファベット、数字や! ” ? $ % ^ & ) などの記号を含めた7文字以上の組み合わせにしましょう。辞書に載っているような単語などの推測されやすい文字を使うのはやめましょう。

デフォルトの管理者アカウントの変更

デフォルトの管理者アカウントはadminです。adminをそのまま使用しているとブルート・フォース・アタックによって総当たりで一致するパスワードを見つけ出されてしまうかもしれません。

管理者ユーザーのアカウント名adminの変更方法ですが、やり方は二通りあります。phpMyAdminのようなツールを使用し、MySQLのデータを直接変更するか、新しく管理者ユーザーを作成するかの二通りです。

新しく管理者ユーザーを作成するには管理メニューのユーザーにある新規追加を選びます。ユーザー名とメールアドレス、パスワードを入力し、権限を管理者に設定します。パスワードは忘れずに複雑なものにしてください。

一度ログアウトし、新しい管理者ユーザーでログインし、管理メニューのユーザーからadminを削除します。

デフォルトの管理者アカウント名を変更することと、上述したとおりパスワードを複雑なものにすることで堅牢な管理体制となるはずです。

常に新しいバージョンのWordPressを使用する

WordPressはマイナーバージョンアップはもちろんのことメジャーバージョンアップが一年間に何度も行われています。2008年には、バージョンアップが9回も行われました。今後も継続的にバージョンアップされていく予定ですが、なるべく最新のバージョンを使用するように努めましょう。

セキュリティの脆弱性が発見された場合の修正が行われるのは最新バージョンです。WordPress 2.7より管理画面から簡単にアップグレードを実行できるようになりました。最新のWordPressに保つメンテナンス性も大幅に改善されていますので、なるべく最新バージョンのWordPressを使用するようにして下さい。

SSLを使用する

管理画面をよりセキュアな状態で使用したい場合はSSLを使用するとよいでしょう。SSLが使用できるかはサーバーによって異なってくるので各自ご確認ください。WordPressの管理画面をSSLで使用するには、wp-config.phpに以下の行を追加します。

データベースはバックアップをする

直接的にはセキュリティに関係ないかもしれませんが、定期的にWordPressのデータベースのバックアップを取ることでもしもの事態に備えることができます。

データベースのバックアップは、phpMyAdminのようなツールを使用するか、データベースをバックアップするプラグイン - WP-DBManagerを参考にしてください。