ちょっと自信ないね。
>SMASHING » 10 Steps To Protect The Admin Area In WordPress
- wordpressをフォルダに格納してアップロードする
そうか、一般設定のWordPressのアドレスとブログのアドレスの設定はこういうことだったか。 - wp-config.phpを編集する
テーブルの接頭辞は変えたいね。 - wp-config.phpを移動させる
- wp-config.phpを保護する
- adminユーザーを削除する
- より強力なパスワードに変更する
ダメじゃん・・・。 - wp-adminディレクトリを保護する
ジェネレーターを使って htpasswdをかける。 - エラーメッセージを消す
親切も時として仇になる。でも、ローカライズも効き目があるんじゃないかと思ったり・・・。 - ログインの失敗回数を制限する
- 常にソフトウェアを最新に保つ
早速いくつか対応してみました。簡単に実行できるものもあるしね。なんかこの手の危機意識って希薄なんだけど、アクセスが増えるごとに危険も増えるって認識しなきゃダメだよね。
コメント
前から気になっていることですが、「Invalid Username」というのはやめてほしいですね。
これだと、「そういうユーザー名のユーザーがいない」ことは判明してしまうので、セキュリティーが落ちるからです。また、存在するユーザー名にヒットした場合、パスワードが違うことが判明してしまいます。
一般に、こういう場合は「ユーザー名もしくはパスワードが間違っています」という表示にするのが鉄則なんですが……。
あと、今回の文書では「WordPress のバージョンを隠す」というのが *出てない* のがよいことですね。
「バージョン隠し」はセキュリティーアップにはならない、という意見も強く、いつも議論になっていますから、「取り上げる」こと自体が、そういう議論を知らないということになり、文書の信頼性が疑われてしまいます。
「エラー: ユーザー名が違います」ってヤツですね。
「それ、違う。違うのを試してみなYO!」みたいな・・・。orz
あれを見るたびにボクは「金庫破り」を想像してしまいます。
おお!それはそれは良い事知った!
ってか、どれも出来てない私…
スパムが少ないしアクセス数も少ないからって余裕こいちゃぁいけませんね。
しまったぁ∼対策しておくんだった・・・と思う前に何かしておきたいものです。
何も起きなければそれはそれでまたよし・・・ですしね。