WordPress は現在、世界で最も人気のある Web サイト構築プラットフォームの 1 つで、個人のブログ、企業 Web サイト、電子商取引プラットフォームなど、さまざまな種類の Web サイトで広く使用されています。ただし、その幅広い用途とオープンソースの性質により、WordPress Web サイトはハッカーの標的にもなっています。したがって、Web サイトのセキュリティを確保するには、WordPress を強化する必要があります。この記事では、WordPress のセキュリティを強化するために知っておくべきいくつかの方法を紹介し、具体的なコード例を示します。
1. WordPress を更新します
まず、WordPress のインストールが最新バージョンであることを確認します。 WordPress チームは、既知の脆弱性を修正し、システムのセキュリティを向上させるために、セキュリティ パッチと更新バージョンを定期的にリリースします。 WordPress バックエンドに更新プロンプトがあるかどうかを確認し、Web サイトのセキュリティを確保するために適時に更新することができます。
2. ログインパスワードを強化する
強力なパスワードはWordPress Webサイトを保護するための基礎です。パスワードは 8 文字以上で、大文字、小文字、数字、特殊記号を含めることをお勧めします。また、「123456」や「password」など、推測されやすいパスワードの使用も避けてください。次のコード例を使用して、パスワードの複雑さを強制することができます:
function custom_password_check( $errors ) { if ( empty( $_POST[ 'pass1' ] ) ) { return $errors; } $uppercase = preg_match('@[A-Z]@', $_POST[ 'pass1' ]); $lowercase = preg_match('@[a-z]@', $_POST[ 'pass1' ]); $number = preg_match('@[0-9]@', $_POST[ 'pass1' ]); if ( !$uppercase || !$lowercase || !$number ) { $errors->add( 'password_too_weak', 'Password must contain uppercase, lowercase letters and numbers.' ); } return $errors; } add_filter( 'registration_errors', 'custom_password_check' );
3. ログイン試行回数を制限する
ブルート フォースによるパスワード クラッキングを防ぐために、ログイン試行回数を制限できます。ログイン試行が複数回失敗すると、その IP アドレスはログイン ページへのアクセスを一時的に禁止されます。簡単なコード例を次に示します:
function limit_login_attempts() { $ip = $_SERVER['REMOTE_ADDR']; $login_attempts = get_transient( 'login_attempts_' . $ip ); if ( false === $login_attempts ) { $login_attempts = 0; } $login_attempts++; set_transient( 'login_attempts_' . $ip, $login_attempts, MINUTE_IN_SECONDS ); if ( $login_attempts > 3 ) { header( 'HTTP/1.1 403 Forbidden' ); exit; } } add_action( 'wp_login_failed', 'limit_login_attempts' );
4. ディレクトリの参照を無効にする
デフォルトでは、WordPress はディレクトリ内のファイルをリストするため、ハッカーが情報を収集する機会が得られます。次のコード例を使用して、ディレクトリ参照機能を無効にします:
Options -Indexes
上記のコードを .htaccess ファイルに追加して、ディレクトリ参照機能を無効にします。
5. ファイル編集機能を無効にする
WordPress には、テーマやプラグインファイルをバックグラウンドで直接編集できるエディター機能が提供されています。これにより、ハッカーは非常に便利な侵入方法を得ることができます。潜在的なセキュリティリスクを回避するために、ファイル編集機能を無効にすることをお勧めします。コード例は次のとおりです:
define( 'DISALLOW_FILE_EDIT', true );
ファイル編集を無効にするには、上記のコードを wp-config.php ファイルに追加します。
概要
上記の WordPress セキュリティ強化方法とコード例を通じて、WordPress Web サイトのセキュリティを効果的に向上させ、さまざまな潜在的なネットワーク攻撃を防ぐことができます。これらの方法はセキュリティ対策の一部にすぎません。Web サイトのセキュリティは継続的なプロセスであるため、定期的に包括的なセキュリティのレビューと WordPress の強化を実施することをお勧めします。この記事が WordPress ウェブサイトのセキュリティ強化に役立つことを願っています。
以上がWordPressのセキュリティ強化について知っておきたい!の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。