以下は、Locking Down WordPress(CC BY-NC-SA 3.0, 2012)のまとめの章、”TL;DR: Our Collaborators’ Advice in Short Shots -要約: 協力してくれた方々のアドバイスの簡潔なまとめ”をPHP祭り2012のハッカソン中に訳したものです。その訳はAzure上に作ったWordPressに置いていたのですが、お試し用に貸していただいていた場所なのでこちらに移しました。
この「まとめ」以外の中身の訳と、これを(生涯初の)LTで発表してスライドごと大失敗に終わってしまった顛末はまたの機会にw。
あらためて、Azureを紹介してくださった廣瀬 一海(デプロイ王子)さんとPHP祭り青年団のみなさんお礼申し上げまする。
要約: 協力してくれた方々のアドバイスの簡潔なまとめ
あなたの仕事のやり方を変えてしまったこのヒントの記憶を新たにするために、この本全体を読み直す必要はありません。みなさんのアドバイスから最高の部分を引き出して、必要な情報を簡単に素早く見つけ出すために完結にまとめました。
だれが何を言っていたかというと:
- レイチェル・ベイカー(RB)
- ブラッド・ウィリアムズ(BW)
- ジョン・フォード(JF)
ホスティング
- 安い(月5ドルから10ドル)共有ホスティングアカウントには気をつける(RB)
- WordPressサイトをホスティングした経験のあるホスティング会社を探す(RB)
- 信頼できるサポートのあるホスティング会社を探す(JF)
- 率直なホスティング会社をさがす: 素早くコミュニケーションがとれてオンラインで問題をポストできる会社(JF)
- あなたがアクセスできる定期的なバックアップをそのホスティング会社が取っていることを確認する(JF)
- 動作させているApache Webサーバ、MySQL、およびPHPのバージョンをホスティング会社に電話でたずる。Google検索でそのバージョンのリリース日を確認(RB)
- サーバーのデータバックアップ、フェールオーバー、および更新または保守ポリシーが記載されたドキュメントがあるかたずねる。そのドキュメントが無ければ、別のホスティング会社を探す(RB)
- 推奨するホスティング会社: WP EngineとZippyKid (RB)
WordPressを堅牢にして守る
- あなたのWordPressを堅牢にするにはこの手順に従います
- WordPress本体、テーマ、プラグインを最新に保つ常に。以上。(BW)
- WordPress本体、テーマ、プラグインを更新する方法がわからない場合はそれを行なってくれる誰かを雇う(BW)
- WordPress本体、テーマ、および/またはプラグインを更新する前にサイトをバックアップする(BW)
- 未使用のユーザーアカウントを無効にする(RB)
- ユーザー名に “admin”を使用しない。絶対に。(BW)
- ユーザーには必要最小限の権限しか与えない(RB)
- 強力なパスワードを必須にする。(RB)
- 1PasswordかKeePassを利用して強力なパスワードを作成する(JF)
- すべてのサイトにログインするための異なった、強力なパスワードを使用してください(JF)
- .htaccessファイルを使用して、WordPressの管理画面(/wp-admin)をロックダウンする(BW)
- WebホストのアクセスにはSFTPを使用する(BW)
- WPでSSLを有効にする(BW)
- 月に一度、パスワードを変更する。必要なら、カレンダーにリマインダーを設定する(BW)
- バックアップを取る。おすすめ: BackupBuddy 、 VaultPress (BW)
- ファイルのアクセス権は644に、フォルダのアクセス権は755に設定する(BW)
- wp-config.phpのアクセス権は、特に共有ホスティング環境では、誰でも読める状態ではないことを確認する(JF)
- /wp-admin/エリアへのHTTP認証を追加することを検討する(JF)
- Sucuri.netのブログを読む(BW)
- Googleのセキュリティブログを読む(BW)
正しいプラグインの選択
- WordPressのプラグインAPIフック、アクション、およびフィルタを探す(RB)
- 適切にサニタイズされたデータとMySQL文、一意の名前空間アイテム、プラグインの設定やオプションでのSettings APIの使用(RB)
- ブラウザのCookieの代わりにナンスを使用するプラグインを探す(RB)
- その開発者がサポートのリクエストにどのくらい速く対応するかを確認する(RB)
- そのプラグインがどの程度サポートされているかを確かめるためにフォーラムのスレッドをチェックする(BW)
- その開発者はコミュニティで知られていて尊敬されているメンバーですか?(BW)
- 1つまたは2つのタスクを確実に実行するプラグインを探す(JF)
- 同様のことを行うプラグインが2つある場合には、よりダウンロード数の多い方を選択する(BW)
ハックされました。どうしますか?
- サイトをオフラインにします。今すぐ。これにより、検索エンジンおよびウイルス対策プログラムからいわれのない非難を避けます(BW)
- Webホスティング会社に何が起こっているか知らせる(JF)
- 感染したサイトのフルバックアップを作成する。修復中に何かを台無しにした場合に何が起こったのかを見直すのに役立ちます(JF)
- すべてのパスワードとwp-config.php内の認証キーを変更する(JF)
- サーバーからすべての古いテーマ、プラグイン、および未使用のコードを削除する(JF)
- サーバー上のすべてのコードを更新する。WordPressを再インストールして、WordPressのすべてのファイルを新鮮なファイルで上書きします。(JF)
- 悪意のあるコードが挿入されていないことを確認するために、テーマやプラグインを再インストールする(JF)
- ファイルとフォルダ、特にwp-config.phpとuploadsフォルダのアクセス権が適切かチェックする(JF)
- 不正なコードを削除して、自分のホスティングアカウント上のすべてのサイトを確認するVaultPressのように、感染をスキャンし除去するツールがあります。Exploit Scannerも特定のエクスプロイトをスキャンします。(JF)
- 感染したファイルを修正する能力がない場合は、最近のきれいなバックアップから復元するのが一番の方法です(JF)
- サーバーのアクセスログを確認するサーバー上で見つけた不正なファイル名、クエリーストリングとして渡されたパターン、攻撃発生時と思われる日付/時間を探します。(JF)
WordPressの守りを固めるで引用した資料
WordPressの守りを固めるで協力してくれた方々が引用したすべての資料の便利なリストです。
WordPressを堅牢にする
- WordPress Codex
- WordPressの堅牢化
- wp-config.phpをセキュアにする
- FTP
- 強力なパスワード
- WP Codex: 私のサイトがハックされました(よくある質問)
- 設定ファイルのアクセス権
- データのバリデーション
親切なホスティング会社
監視、バックアップ、およびマルウェアの警戒
強力なパスワード
お気に入りのプラグイン
- Akismet
- BackupBuddy
- Gravity Forms
- WordPress SEO
- WYSIWYG Widgets
- Login Lockdown
- BulletProof Security
- Exploit Scanner
- WP Super Cache