WordPress をインストールした後にサイトのソースコードを見てみると、<head> 内に現在利用しているWordPress 本体のバージョン情報が出力されているのが分かります。
このバージョン情報を非表示にしているサイトやブログは多いと思いますが、Secure WordPressプラグインを利用することで簡単にバージョン情報を非表示にすることができます。
バージョン情報の非表示以外にも、WordPress サイトを運用する上で必要最低限のセキュリティ対策を施せますので、是非導入しておきたいプラグインの1つだと思います。
Secure WordPress のインストール
管理画面のプラグイン新規追加よりSecure WordPressを検索するか、以下のページからプラグインファイルをダウンロードします。Secure WordPress
Secure WordPressの設定
Secure WordPressを有効にしたら、プラグイン一覧ページのSecure WordPress欄より「設定」リンクをクリックします。
Secure WordPressでセキュリティ対策をしておいた方が良さそう箇所を中心に、以下にまとめてみました。
ログイン失敗時に出るエラーメッセージを無効化
WordPress のログイン画面で、ユーザーID とパスワードが間違った際に表示されるエラーメッセージを出力しないようにします。
エラーメッセージ自体は親切で有り難い機能なのですが、外部からの意図しないアクセスに対して「ユーザー名はあっているけどパスワードが間違っている」のようなヒントを与えることにもなり兼ねませんので、個人的には無効化しておく方がと良いと思っています。
head内に表示されるWordPress バージョン情報の非表示
WordPress のバージョン情報を出力しない設定です。
WordPress本体やプラグイン、テーマなどの更新通知を「管理者のみ」に制限
投稿者などの管理者以外のユーザーにはバージョンアップ通知を行わない設定です。
プラグインフォルダなどにindex.phpを作成
wp-content/ 内のプラグインやテーマフォルダ内に、index.php ファイルを生成できます。
悪意あるクエリをブロック
これもチェックは入れておいた方が良いと思います。
コメント