何をいまさら・・・という感じですがようやくWordpressに手を出してみました。
記念すべき?初投稿なのでWordpress関係の話題にしたいと思います。
インストールした後だと面倒なので、インストールする前にしっかりやっておきたいものです。
1,.htaccessを使って、wp-config.phpにアクセスできなくする。
.htaccessが許可されているサーバであればDBへの接続情報等が平文で乗ったwp-config.phpにはアクセスさせないようにしましょう。
具体的には.htaccessにたった3行追加するだけです。(Apache2.4の場合)
|
1 |
Require all denied |
以前のバージョンのApacheをお使いなら、
|
1 2 |
Order deny,allow Deny from all |
にするだけでOKです。ブラウザからwp-config.phpにアクセスした時に許可がないよ〜のメッセージとともにforbiddenになっていればOKです!
2,SALTを設定する。
SALTとは、パスワードをハッシュする前にパスワードに合成する文字列のことで、ハッシュから平文のパスワードを割り出すのを非常に困難にします。
SALTなしの場合、平文とハッシュ値を予め計算して対応させたテーブル(レインボーテーブル)を用いれば一瞬で平文のパスワードが取得できる場合があります。
でもパスワードにSALTと呼ばれる文字列をくっつけて(パスワードを塩で味付けして)ハッシュ化すればハッシュ値だけ漏れても逆算できずあんまり怖くないよね!という考え方なのがこのSALTです。
詳しくはgg(ry
では実際にどうすればいいかというと、wp-config.phpの中にごにょごにょすればOKです。
インストール前だとwp-config.phpが存在しないと思いますが、wp-config-sample.phpというファイルをコピーしてリネームすればOKです。
開けたらエディタで下記のブロックを見つけてください。
|
1 2 3 4 5 6 7 8 |
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here'); |
このput your unique phrase hereの部分を任意の文字列に置き換えるのですが、考えるのが面倒という方は、
https://api.wordpress.org/secret-key/1.1/salt/
wp-config.phpに書いてあるとおり上のページから自動生成された値を使っても良いと思います。
勝手にユニークなパスフレーズを生成してくれます。
3,Wordpress管理画面はSSL接続
いくらwp-configを隠し、SALTを設定してもWordpressにログインするときにパスワードが平文で流れるようではとても残念です。
レンタルサーバ等で共用SSLを利用させてくれる場合はそれを利用すれば良いと思いますが、そういったものが使えない場合、シェルにログインできるVPSであれば無料でSSL環境を手に入れることができます。
がっ・・・っ!これは別投稿で紹介したいと思います・・・
別投稿が完成したらリンク貼ります。こちらで紹介しています。
それではでは
