WordPressのセキュリティ強化

2017/05/22

WordPressのセキュリティを強化した際のログです。

環境

CentOS 7.3.1611 (VPSを使用)
PHP7
Mysql
Apache 2.4
Wordpress 4.7.5

 

 

1.wp-config.php と .htaccess を アクセス不可にする

1-1. .htaccessの変更

wordpressをインストールしたディレクトリへ移動。

.htaccessを変更

/wp-config.php へアクセスし、Forbidden が表示されたらOK。

 

2.管理画面からのファイル編集を、不可にする

2-1. wp-configの変更

 

3.Wordpressのバージョン情報を出力しない

デフォルトでは、ソースコードにwordoressのバージョン情報が出力される。
脆弱性を突かれる可能性があるので、防止のため functions.php へ以下のコードを追加。

3-1. functions.phpの変更

 

4.パーミションの設定

4-1. 全てのディレクトリを 755 に設定

4-2. 全てのファイルを、644 に設定

4-3. wp-config.phpは、400に設定