wordpressのセキュリティ対策のためにやったこと。(ベーシック認証とか、configファイルとか)

security
最近wordpress周りでの乗っ取りが騒がれており、セキュリティ強化をする必要がありまして。
そこで、色々調べて使いやすさとのバランスを考えてみた結果導入したものをまとめておきまっする。

インストールしたセキュリティ系プラグイン

Google Authenticator

Googleの二段階認証をwordpressのログイン時にも使えるプラグイン。
詳細はここを参照しました。
ダウンロードはこちら → Google Authenticator

Crazy Bone (狂骨)

ログイン履歴を蓄積、閲覧できるプラグイン。
精神安定的にたまにチェックする用。
ダウンロードはこちら → Crazy Bone (狂骨)

BackWPup

万が一侵入された時のため+サーバーが落ちた時ように、自動で決めたスケジュールでバックアップを取得してくれるプラグイン。
バックアップの保存先にはDropBoxも指定できて、バックアップの個数も指定できるのでかなり便利!
詳細はここを参照。
ダウンロードはこちら → BackWPup

変更した.htaccessまわり

wp-login.phpのIP制限

管理画面周りにログインできるIPを自宅のみに制限。
これで基本的には管理画面のファイル自体にアクセスができないようになる。
実際の.htaccessのコードは下記。

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from xx.xx.xx.xx
</Files>

wp-login.phpへのベーシック認証

管理画面まわりにIP制限をかけた上でベーシック認証っていう、これでもかプラン。
実際の.htaccessのコードは下記。

<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /home/○●/.htpasswd
Require valid-user
</Files>

wp-config.phpへのアクセス除外

こんかい起きたwordpressの乗っ取りはwp-config.phpがデフォルトのままで、それを踏み台にされて・・・っていう話もあるので、念のためwp-config.phpファイルへのアクセスを除外。
実際の.htaccessのコードは下記。

<Files wp-config.php>
order allow,deny
deny from all
</Files>

これで無理な場合には、もう諦めます!
(とりあえずバックアップは自動化できているからなんとかなる!)