WordPress ブログを侵入から安全に保ちたい場合、基本的な攻撃を排除する 2 つの方法は、wp-config.php ファイルを 1 つ上のディレクトリの非公開領域に移動することと、管理者ユーザー アカウントを削除することです。どちらも、決意が強く熟練した犯罪者を阻止することはできませんが、自転車のロックを使用するのと同様に、基本的な凶悪犯を締め出すことができます。
ブログ サイト Problogger は、Wordpress、プラグイン、テーマを常に最新の状態に保ち、安全なパスワードサイトを安全に保つ最も効果的な方法です。
また、wp-config.php ファイルを ~/home/user/public_html/wp-config.php から 1 レベル上の ~/home/user/wp-config.php に移動することも指摘しています。構成ファイルを公共の場所に保管すると、十分なスキルを持った悪者が WordPress 構成設定を侵害してマルウェアを注入したり、サイトを削除したりする可能性があることを意味します。 WordPress は、1 レベル上の wp-config.php を検索することを自動的に認識しますが、ブログがサブディレクトリ (domain.com/blog) にある場合、または cPanel のアドオン ドメインとして存在する場合、このトリックは機能しません。
WordPress を扱ったことがある人なら誰でも、通常、WordPress インストールのデフォルト アカウントは admin であり、ほとんどの人はそのアカウントを削除しないことを知っています。これにより、ユーザー名がすでに知られているため、ブルートフォースクラッキング手法の採用が容易になります。したがって、管理者権限を持つ新しいアカウントを作成し、管理者アカウントを削除します。すべての投稿の帰属を新しい管理者のユーザー名に変更する機会が得られます。管理者のユーザー名を削除できない場合一般設定の電子メール アドレスが管理者アカウントではなく、新しいアカウントと一致していることを確認してください。
5 分で WordPress を 10 倍安全に|プロブロガー
