あなたのサイトは安全ですか?

ちょっと自信ないね。 :sad:

SMASHING » 10 Steps To Protect The Admin Area In WordPress

  1. wordpressをフォルダに格納してアップロードする
    そうか、一般設定のWordPressのアドレスとブログのアドレスの設定はこういうことだったか。
  2. wp-config.phpを編集する
    テーブルの接頭辞は変えたいね。
  3. wp-config.phpを移動させる
  4. wp-config.phpを保護する
  5. adminユーザーを削除する
  6. より強力なパスワードに変更する
    パスワード
    ダメじゃん・・・。
  7. wp-adminディレクトリを保護する
    ジェネレーターを使って htpasswdをかける。
  8. エラーメッセージを消す
    親切も時として仇になる。でも、ローカライズも効き目があるんじゃないかと思ったり・・・。
  9. ログインの失敗回数を制限する
  10. 常にソフトウェアを最新に保つ

早速いくつか対応してみました。簡単に実行できるものもあるしね。なんかこの手の危機意識って希薄なんだけど、アクセスが増えるごとに危険も増えるって認識しなきゃダメだよね。 :wink:

スポンサーリンク
  • このエントリーをはてなブックマークに追加

コメント

  1. ゆりこ より:

    エラーメッセージを消す

    前から気になっていることですが、「Invalid Username」というのはやめてほしいですね。
    これだと、「そういうユーザー名のユーザーがいない」ことは判明してしまうので、セキュリティーが落ちるからです。また、存在するユーザー名にヒットした場合、パスワードが違うことが判明してしまいます。
    一般に、こういう場合は「ユーザー名もしくはパスワードが間違っています」という表示にするのが鉄則なんですが……。

    あと、今回の文書では「WordPress のバージョンを隠す」というのが *出てない* のがよいことですね。
    「バージョン隠し」はセキュリティーアップにはならない、という意見も強く、いつも議論になっていますから、「取り上げる」こと自体が、そういう議論を知らないということになり、文書の信頼性が疑われてしまいます。

    • Masayan より:

      「エラー: ユーザー名が違います」ってヤツですね。
      あれを見るたびにボクは「金庫破り」を想像してしまいます。 :lol: 「それ、違う。違うのを試してみなYO!」みたいな・・・。orz

  2. endunham より:

    おお!それはそれは良い事知った!
    ってか、どれも出来てない私… :oops:
    スパムが少ないしアクセス数も少ないからって余裕こいちゃぁいけませんね。

    • Masayan より:

      しまったぁ∼対策しておくんだった・・・と思う前に何かしておきたいものです。
      何も起きなければそれはそれでまたよし・・・ですしね。 :cheesy:

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

:x :wink: :twisted: :shock: :sad: :oops: :o :mrgreen: :lol: :idea: :evil: :cry: :cheesy: :arrow-u: :arrow-l: :arrow-d: :D :?: :) :!: 8)