WordPress でブログをする
WordPressでブログをするにはどうやったらよいか、手順のメモを記載しています。
Contents [hide]
ゴール
- セキュリティーを高める
- きれいで見易く分かりやすいブログにする
- ブログをするのに労力がかからないようにする
事前に必要なもの
- AWSでつくったWordPress
セキュリティーを高める
セキュリティー用のプラグインを導入してセキュリティーを高めることにします。ただその前にも行っておいたほうが良いことがたくさんあるので、Wordfenseのチェックリストをもとにひとつづつ対策をしていきます。
| Tier 1 | Tier 2 | Action (補足) |
|---|---|---|
| ホスティング | サーバーをほかのシステムと分離して独立する | ・AWSで限定された構成にする() |
| httpsのみで運用する | ・全部の通信をhttps化する() | |
| 一般 | WordPressを常にアップデートする | ・アップデート+自動更新を有効化する() |
| Pluginを常にアップデートする | ・アップデート+自動更新を有効化する | |
| 必要最低限のテーマとプラグインのみにする | ・不要なテーマ+プラグインを削除する | |
| 信頼性の高いソースからのインストールのみにする | ・公式にのっているテーマとプラグインのみをつかう | |
| ユーザー | Adminユーザーを整理する | ・初期Adminユーザーの削除+新規作成をする |
| 必要最低限の権限のみにする | ・設定はAdminがする ・他のアクションはAdmin以外がする | |
| 認証 | ユーザーのパスワードを強化する | ・15桁以上で小文字・大文字・英数字・記号のミックスにする |
| ログイン方法を強化する | ・Two Factor Authentification (2FA)をつかう | |
| ログイン回数を制限する | ・ログインを連続して失敗した場合にロックする | |
| ログインページの通信は暗号化する | ・ログインページがhttpsで通信しているようにする | |
| 管理 | サーバーとの接続は暗号化する | ・FTPはsFTPにする。shellはsshのみにする ・ポートを遮断する |
| パブリックネットワークからサーバーにアクセスする場合はVPNでする | ・VPNをつくるのは手間だからアクセスしない |
参考
- Wordfence, Checklist – How to Secure Your WordPress Website
- ハックノート, WordPress : 自動更新の停止&有効化
- Vektor, Lightning
