WP-Config.php で WordPress サイトを保護する方法

すべての WordPress サイトには「wp-config.php」というファイルが含まれています。この特定の WordPress 構成ファイルは、最も重要な WordPress ファイルの 1 つです。このファイルには、サイトのセキュリティを強化するために変更できる多くの構成パラメーターが含まれています。この投稿では、WordPress 構成ファイルを使用して WordPress サイトを保護する方法を紹介します。

wp-config ファイルを使用して WordPress サイトを保護する方法

1.データベースの接頭辞を変更

WordPress データベースのテーブルを見たことがありますか? (Web ホスト アカウントからアクセスできます) デフォルトでは、データベースには 11 個のテーブルがあります。各テーブルには特定の機能があります。たとえば、wp_posts は、投稿、ページ、およびナビゲーション メニューからの情報を保存します。 各テーブルの機能は事前に決定されているため、ハッカーはサイトの詳細がどこに保存されているかを知っています。 たとえば、サイトのユーザーを悪用したい場合、テーブル「wp_users」を狙うことができます。

WordPress は、デフォルトですべてのテーブルに「wp_」プレフィックスを使用します。これを一意のプレフィックスに変更すると、テーブル名を非表示にするのに役立ち、WordPress サイトを保護するのに役立ちます.これを行うには、「wp-config」ファイルを開きます。

ステップ 1: wp-config.php にアクセスするには、ウェブ ホスト アカウントを開きます cPanel に移動します . ファイル マネージャを選択します 、次のようなページが表示されます:

ステップ 2: 左側に public_html フォルダ があります .このフォルダには、wp-config があります。 ファイル。

「wp-config」ファイルに次の行を配置します:

[code]$table_prefix = ‘wp_’;[/code] 

You need to change it to something random like: 

[code]$table_prefix = ‘agora_’;[/code]

これにより、データベース内のテーブルの名前が「wp_users」から「wp_agora」、「wp_posts」から「wp_agora」などに変更されます。

2.テーマ/プラグイン ファイルの編集を無効にする

WordPress ダッシュボードには、プラグイン/テーマ ファイルを編集するオプションがあります。これは、ダッシュボードへのアクセスと十分な権限があれば、誰でもテーマやプラグインを編集できることを意味します.

プラグインを再構成したい場合には便利なツールですが、ハッカーの手に渡れば危険です。 たとえば、ハッカーがエクスプロイトを利用してサイトに侵入したとします。既存のプラグインやテーマにマルウェアを追加するのは簡単です。彼らはバックドアを隠している可能性があり、後でそれを悪用していつでもサイトにアクセスできます.これらのファイルを編集するオプションを無効にすることで、これを防ぎ、WordPress サイトを保護することができます。 WordPress 設定ファイルに次のコードを追加するだけです:

[code]define(‘DISALLOW_FILE_EDIT’,true);[/code]

3.ユーザーがプラグインとテーマをインストールまたは更新できないようにする

ユーザーがこれらのファイルを編集できないようにしても、1 レベルのセキュリティしか提供されません。 ハッカーがサイトの悪用に使用できる悪意のあるプラグインをインストールするのを防ぐことはできません。 適切なユーザー権限とともに管理パネルにアクセスできるようになると、不正なテーマまたはプラグインをインストールできます。プラグインを頻繁にインストールしない場合は、WordPress 構成ファイルに次のコードを追加して、オプションを無効にすることができます:

[code]define(‘DISALLOW_FILE_MODS’,true);[/code]

4. 「FTP」の使用を強制する

ユーザーがプラグインとテーマをインストールおよび更新できないようにすることは、制限的であり、プラグインを頻繁にインストールするサイトにとっては非現実的ですらあります.さらに、テーマとプラグインの更新は、サイトのセキュリティにとって非常に重要です。プラグインが有効なユーザーによってインストールされていることを確認する別の方法は、ユーザーに「FTP」の詳細を提供させることです。管理パネルが侵害された場合でも、ハッカーは FTP 資格情報を持っていない限り、不正なプラグインをインストールできません。

「wp-config.php」に次の行を追加するだけです:

[code]define(‘FS_METHOD’, ‘ftpext’);[/code] 

ウェブホストまたはサーバーが「FTPS」をサポートしている場合は、設定ファイルに次の行を追加してください:

[code]define(‘FTP_SSL’, true);[/code]

ウェブホストまたはサーバーが「SFTP」をサポートしている場合は、次の行を追加してください:

[code]define(‘FS_METHOD’, ‘ssh2’);[/code]

5.セキュリティ キーの変更

サイトにログインするたびにログイン資格情報を入力する必要はありません。ブラウザーがこれらの資格情報をどのように保存するのか疑問に思ったことはありませんか?アカウントにサインインすると、ログイン情報はブラウザの Cookie に暗号化されて保存されます。セキュリティ キーは、この暗号化を改善するのに役立つ確率変数です。 サイトがハッキングされた場合、秘密鍵を変更すると Cookie が無効になり、アクティブなユーザーはすべて自動的にログアウトされます。 追い出されると、ハッカーは WordPress 管理者にアクセスできなくなります。

セキュリティ キーの新しいセットを生成し、「wp-config」ファイルに配置できます。 WordPress サイトを保護するのに役立ちます。

6. 「wp-config.php」を隠す

どの WordPress サイトでも、wp-config ファイルにはデフォルトの場所があります。したがって、ファイルの場所を変更すると、ハッカーの手に渡るのを防ぐことができます. 幸い、WordPress では「wp-config」フォルダを WordPress インストールの外に置くことができます。 たとえば、WordPress が public_html フォルダーにインストールされている場合、構成ファイルはデフォルトで public_html フォルダーに存在します。ただし、 wp-config を public_html フォルダーの外に移動しても、引き続き機能します。

7. wp-config.php ファイルを保護する

構成は攻撃に対して脆弱であるため、保護することが不可欠です。これを行う 1 つの方法は、ハッカーがデフォルトの場所で見つけられないように場所を変更することです。一部の開発者はこれに反対するかもしれませんが、良い考えだと考える人はたくさんいます。この議論を見てください。

実行できるもう 1 つのセキュリティ対策は、ファイルのアクセス許可を制限することです。真の所有者だけが wp-config ファイルを編集できるように、ファイルのパーミッションを 600 に設定します。 wp-config のファイル権限を変更するには、ファイルを選択し、[権限] オプションを選択します。

そして、ハッカーがブラウザーから直接 wp-config ファイルをロードするのを防ぐために、.htaccess ファイルに次の行を含める必要があります。

# protect wpconfig.php 

<files wp-config.php> 

  order allow,deny 

  deny from all 

</files>

おかえりなさい

以上で、wp-config ファイルを使用して WordPress サイトを保護する方法について説明しましたが、これはサイトのセキュリティを向上させる多くの方法の 1 つにすぎません。他にも、セキュリティ プラグインの使用、SSL 証明書の使用、一意で強力なユーザー名とパスワードの使用、HTTP 認証の実装、2 要素認証などのセキュリティ対策を講じることができます。ただし、これらの方法を実装する前に、サイトをバックアップする必要があります。何か問題が発生した場合は、バックアップを復元するだけで、サイトをすぐに稼働させることができます.