ワードプレスでHPやブログサイトを運営する際、セキュリティ対策は不可欠です。特に、重要なファイルやフォルダへのアクセスを適切に制限しないと、不正アクセスや情報漏えいのリスクが高まります。
ワードプレスには、外部からのアクセスを防ぐべきファイルやフォルダがいくつか存在します。これらを適切に保護することで、サイトの安全性を大幅に向上させることができます。本記事では、アクセス制限すべきファイル・フォルダと、その設定方法を解説します。
また、サイトの種類に応じたセキュリティ対策も重要です。例えば、会員制サイトや企業サイトでは、より厳格な制限が求められます。まずは、どのファイルやフォルダに制限をかけるべきかを理解し、適切な対策を講じましょう。
管理エリア
- wp-admin/
- URL: https://xxx.jp/wp-admin/
- リスク: 攻撃者が管理画面に不正ログインしようとする
- 対策: .htaccess で IP制限 をかける
ログインページ
- wp-login.php
- URL: https://xxx.jp/wp-login.php
- リスク: ブルートフォース攻撃の標的になる
- 対策:
- ログインURLを変更
- reCAPTCHAを追加
- ログイン試行回数を制限
XML-RPC
- xmlrpc.php
- URL: https://xxx.jp/xmlrpc.php
- リスク: DDoS攻撃・パスワード総当たり攻撃のターゲット
- 対策: .htaccess でアクセスを完全ブロック
重要な設定ファイル
- wp-config.php
- URL: https://xxx.jp/wp-config.php
- リスク: データベース情報などが漏れるとサイト乗っ取りの危険
- 対策: .htaccess で追加保護(既に 400 で保護されているが、念のため)
不要なファイル
- readme.html
- URL: https://xxx.jp/readme.html
- リスク: WordPressのバージョン情報が公開され、攻撃対象になりやすい
- 対策: 削除する
- license.txt
- URL: https://xxx.jp/license.txt
- リスク: WordPressのライセンス情報だが、セキュリティリスクにはならない。しかし削除推奨。
- 対策: 削除する
コメント