WordPressのセキュリティ設定

サイトオープンして2WEEKで3回もサーバダウンしたので以下の対策をする事にしました。これでしばらく様子を見る事にします。

1.wp-login.php、xmlrpc.phpへのアクセスを国内だけに制限
.htaccessに下記を追記しました。

<Files ~ “^(wp-login.php|xmlrpc.php)$”>

Order deny,allow
Deny from all
allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
省略・・(国内IPをすべて書く)

</Files>

2.WordPress管理画面設定>ディスカッション>他のブログからの通知 (ピンバック・トラックバック) を受け付ける のチェックを外す

3.wp-cron.php を無効にする
wp-cron.php を無効にすると、それに依存する予約投稿やE-mail の通知、スケジューリング機能を持つプラグインなどが起動しなくなるので、それらが不要な場合を除き、マニュアルで cron ジョブを設定するなど何らかの対策が必要になります。

wp-cron.php を無効にするには wp-config.php のデータベースの設定の後(define(‘DB_COLLATE’, ”)の後:38行目あたり)に以下を記述する。

define(‘DISABLE_WP_CRON’, ‘true’);

OSのcrontabで下記を定期的に実行するように設定
wget http://127.0.0.1/wordpress/wp-cron.php

Comments are closed.