セキュリティ対策に有効なプラグインがありますが、その前に最低限やっておきたいWordPress 本体のセキュリティ対策をしておきます。
※WordPress のバージョン:5.8.2(2021年12月20日時点の最新版)
今回対応したこと
WordPressを最新版に更新
[ダッシュボード] > [更新] の現在のバージョンのリンク「再確認してください」をクリック。最新版だったので最終チェック日時が更新されただけでした。
WordPressの自動更新の有効化
[ダッシュボード] > [更新] に”このサイトは WordPress の新しいバージョンごとに自動的に最新の状態に保たれます” と表示されていたのでデフォルトで有効になっているようです。
その下に「メンテナンスリリースとセキュリティリリースのみの自動更新に切り替えます」というリンクがあったので試しにクリックしてみました。すると、”メンテナンスリリースとセキュリティリリースのみで自動的に最新の状態に保たれます” に表示が変わったので、その下のリンク「WordPress のすべての新しいバージョンに対する自動更新を有効にします」をクリックして元に戻しておきました。
プラグインとテーマを最新版に更新
[ダッシュボード] > [更新] に”〜はすべて最新版です” と表示されてたので、今回は何も更新しませんでした。
ユーザ名、パスワードの複雑化
ユーザ名は、直前の投稿「ブログ開設作業」でも書きましたが、ログイン時に入力するユーザ名とブログ上に表示するユーザ名を別にすることができるので、ログインに使うユーザ名は推測が困難な文字列にしておきました。これで、ユーザ名を固定したパスワードのブルートフォース攻撃が簡単に行われないようにしました。(投稿者アーカイブによるユーザ名の特定を防ぐ方法はプラグインで対応します)
パスワードは、新たにパスワードマネージャで生成した英数字記号混在の30桁以上の文字列を設定しました。
不要なユーザの削除
このブログは自分一人でしか使わないので、ユーザは1人だけしか登録されていない状態にしておきます。
今回のWordPress本体のセキュリティ対策は以上としておきます。次回はプラグインを使ったセキュリティ対策をします。
参考
- WordPressのセキュリティを強化する – さくらインターネット
- WordPressのセキュリティ対策について – IDC Frontier