ブログ用の共有cPanelホスティングにWordPressをインストールしています。 public_html
の下のフォルダー、つまりpublic_html/myblog
にインストールする予定です。 cPanelで利用可能なWordPressアプリケーションインストーラーを使用しています。
一般的なセキュリティリスクとは何ですか?
指定したディレクトリパスに従ってインストールは問題ありません。WordPressサイト/ブログを保護するには、次の手順を実行する必要があります。
最新のWordPressバージョンを使用していることを確認し、新しいバージョンが利用可能になるたびに更新してください。
プラグインの詳細を確認してください。プラグインを使用する前のダウンロード数、評価など。また、常にすべてのプラグインの最新バージョンを使用してください。
WordPressをまだインストールしていない場合は、インストール中にデータベーステーブルのプレフィックスを「WP」から他の文字列に変更します。
ユーザー名「admin」でユーザーを作成しないでください。他のユーザー名とセキュリティで保護された強力なパスワードを使用してください。
CPanelから、許可を設定します755すべてのWordPressフォルダーおよび644すべてのファイル。
テーマファイルとデータベースを定期的にバックアップします。
パブリックユーザーのすべてのファイルとディレクトリリストを無効にします。これは.htaccessファイルで実現できます。
一定の間隔でcPanel、FTP、およびWordPressログインパスワードを変更します。
失敗したログイン試行を制限するプラグインをインストールできます。例:ユーザーがWordPress adminにログインして間違った資格情報を3回挿入しようとした場合、ユーザーipをブロックします。
上記の手順が、WordPressブログのセキュリティを強化するのに役立つことを願っています。
私はcpanelで専用サーバーを実行し、それが統合するWebサーバーはApacheであり、アカウントが同様のセットアップにあると仮定しています。
すぐにやりたいことは、サーバーログを定期的に確認する忍耐力を使用し、404エラーコードを返すURLにアクセスしようとしているシステムのエントリを探すことです。次に、Googleで404を返すファイルを検索すると、新しいことがわかります。
今、私が学んだことは、潜在的なハッカーがコンピューターを使用して、サーバーにない他のジャンクのホストとともにwp-admin.phpにアクセスしようとすることです。 wp-admin.phpはWordpressコンポーネントのようです。
すべてを言ったが、ここに私がお勧めするものがあります。 Wordpressマニュアルを確認し、必要に応じてWordpressをインストールし、Webサイトを公開したときにすべてのデータをバックアップしてください。次に、潜在的なハッカーが標準ファイルのみを検索するため、不要なWordpressコンポーネント(特に管理インターフェイスへのログインページ)をすべて削除するか、名前を変更します。
不要なコンポーネントを削除しないと、潜在的なハッカーがログインインターフェイスを見つけて、正しいものが見つかることを期待して、ユーザー名とパスワードでフィールドをフラッディングし始める可能性があります。彼らはブルートフォース攻撃や辞書攻撃などを使用して侵入することができます。