MTの頃はあまり深く考えてなかったりしたけど、
WordPressにしてから多少はセキュリティ対策するようにしてます。
本当はログインURL書き換えとかが一番いいんだけど、
アップデートした時とかにややこしいので、できるだけプラグイン&.htaccessで。
とりあえず今回はやってることと使ってるプラグインだけ列挙して、
詳しい設定なんかはまた気が向いたら書くことにします。
一応今やってるのは、
- indexが無い場合はディレクトリの中身を表示させない
- Limit Login Attemptsでログイン画面のログイン間違い許容回数絞り込み
- Secure WordPressでバージョン情報削除したり色々設定
の3つ。
本当はwp-adminディレクトリにベーシック認証かけるってのも必須なんだけど、
これに関しては、某カレンダープラグイン使ってると、
コンテンツ表示画面でもベーシック聞いてきちゃうので、ケースバイケース。
#あのカレンダープラグイン、便利なんだけどそこが微妙…
indexが無い場合はディレクトリの中身を表示させない、ってのは実はMT時代からやってる。
これはwebサーバー設定の基本だと思ってるので(^^;)
Secure WordPressは今WordPressのいくつ使ってるかとかをソースから削ってくれるので、
脆弱性を突かれにくいかなーと思って入れてます。
Limit Login Attempts、
IDとパスワードを何回まで間違えた時のリトライ回数や時間なんかを設定して、
間違えたらログ取っといてくれるすぐれもの。
「どーせこんなサイトにそんなアタック来ないよなー」とかタカくくってたら、
FOX通信にも少ないながらも来てやがりましたよっと。
てことで晒しときます(笑)
なんだかなー、てな感じですが。
ちなみにIPはフランスとウクライナでした。
どーせ串通してるんでしょうな。
お生憎様~。
なんかスパムもごってり(全部Akismetではじいてる。優秀だのぅ…)来てるし、
不正ログインも来てるし、はてさて、困ったもんだ。