web-dev-qa-db-ja.com

WordPress cPanelのセキュリティチェックリスト

ブログ用の共有cPanelホスティングにWordPressをインストールしています。 public_htmlの下のフォルダー、つまりpublic_html/myblogにインストールする予定です。 cPanelで利用可能なWordPressアプリケーションインストーラーを使用しています。

一般的なセキュリティリスクとは何ですか?

wordpresssecurityblogcpanel
5
tired and bored dev

指定したディレクトリパスに従ってインストールは問題ありません。WordPressサイト/ブログを保護するには、次の手順を実行する必要があります。

  1. 最新のWordPressバージョンを使用していることを確認し、新しいバージョンが利用可能になるたびに更新してください。

  2. プラグインの詳細を確認してください。プラグインを使用する前のダウンロード数、評価など。また、常にすべてのプラグインの最新バージョンを使用してください。

  3. WordPressをまだインストールしていない場合は、インストール中にデータベーステーブルのプレフィックスを「WP」から他の文字列に変更します。

  4. ユーザー名「admin」でユーザーを作成しないでください。他のユーザー名とセキュリティで保護された強力なパスワードを使用してください。

  5. CPanelから、許可を設定します755すべてのWordPressフォルダーおよび644すべてのファイル。

  6. テーマファイルとデータベースを定期的にバックアップします。

  7. パブリックユーザーのすべてのファイルとディレクトリリストを無効にします。これは.htaccessファイルで実現できます。

  8. 一定の間隔でcPanel、FTP、およびWordPressログインパスワードを変更します。

  9. 失敗したログイン試行を制限するプラグインをインストールできます。例:ユーザーがWordPress adminにログインして間違った資格情報を3回挿入しようとした場合、ユーザーipをブロックします。

上記の手順が、WordPressブログのセキュリティを強化するのに役立つことを願っています。

3
Helping Hands

私はcpanelで専用サーバーを実行し、それが統合するWebサーバーはApacheであり、アカウントが同様のセットアップにあると仮定しています。

すぐにやりたいことは、サーバーログを定期的に確認する忍耐力を使用し、404エラーコードを返すURLにアクセスしようとしているシステムのエントリを探すことです。次に、Googleで404を返すファイルを検索すると、新しいことがわかります。

今、私が学んだことは、潜在的なハッカーがコンピューターを使用して、サーバーにない他のジャンクのホストとともにwp-admin.phpにアクセスしようとすることです。 wp-admin.phpはWordpressコンポーネントのようです。

すべてを言ったが、ここに私がお勧めするものがあります。 Wordpressマニュアルを確認し、必要に応じてWordpressをインストールし、Webサイトを公開したときにすべてのデータをバックアップしてください。次に、潜在的なハッカーが標準ファイルのみを検索するため、不要なWordpressコンポーネント(特に管理インターフェイスへのログインページ)をすべて削除するか、名前を変更します。

不要なコンポーネントを削除しないと、潜在的なハッカーがログインインターフェイスを見つけて、正しいものが見つかることを期待して、ユーザー名とパスワードでフィールドをフラッディングし始める可能性があります。彼らはブルートフォース攻撃や辞書攻撃などを使用して侵入することができます。

2
Mike