wordpressを結構運用してきたが、やっとくと良いと思ったいくつかのポイント。
【インストールは専用ディレクトリにインストール】
wordpressは現在も頻繁にバージョンアップされているが、時々脆弱性が発見されバージョンアップがリリースされる。よってサイトがwordpressで運用されていることがなるべく分からないようにしたい。
普通にドキュメントルートにインストールすると、「http://example.com/wp-admin」というURLになる。これだと普通にサイトがwordpressで運用されることが分かってしまう。
そこで、ドキュメントルート配下に専用ディレクトリを作り、そこにインストールすると良い。その専用ディレクトリ名もちょっと分かりにくいディレクトリ名が良い。
具体的なやり方等は以下を参照するとよい。
http://wpdocs.sourceforge.jp/WordPress_%E3%82%92%E5%B0%82%E7%94%A8%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%81%AB%E9%85%8D%E7%BD%AE%E3%81%99%E3%82%8B
【管理画面にdigest認証(basic認証)をかける】
ここ5年間wordpressの運用をしてきましたが、報告される脆弱性はwordpressの管理画面配下(wp-admin配下)の何かであることが多い気がする。また管理画面をのっとられることもあったりする。
そこで、管理画面配下に認証をかける。basic認証でもdigest認証でも良いが、digest認証は認証情報をサーバに送るときに暗号化するらしいので、digest認証の邦画良いと思われる。
設定の前提として、
・basic認証もしくはdigest認証が使える状態とする。
設定の手順については以下を参照。
http://bucci.bp7.org/archives/4407
上記手順では、digest認証から自動でwordpressにログインするようにする方法も有るが、それでは2重ログインをかける意味が無いので、設定しない方が良いと思う。便利だけどね。
【ユーザ名を変更】
wordpressをインストールするときに、よくユーザ名をadminとかにすることが有るが、分かりやすいユーザ名だとログインされやすいので、任意の文字列にした方が良い。