/wp-content/uploads ディレクトリ直下に .htaccess ファイルを作成し、以下の記述をおこない動作のご確認をいただくことで WordPress に対して、ある一定レベルのセキュリティを保つことができます。
基本的には、WordPress 本体やプラグイン、テーマ等を最新版へ更新し、ご運用をいただくことを推奨致します。

□.htaccess ファイルの記載内容
Options -Indexes

deny from all


Allow from 127.0.0.1 "サーバのグローバルIPアドレスを記載ください"
deny from all

・/wp-content/uploads ディレクトリ直下の中身を見せない設定(Options -Indexes)
・.htaccess ファイルや、.htpasswdファイルに対してすべてアクセス制限
・拡張子 (.php .exe .sh .bat .cmd .psd .log .csh) に対して許可されたIPアドレス以外からのアクセス制限
※/wp-content/uploads ディレクトリにつきましては、通常写真(.jpg)や、動画(.mp4)等がアップロードされるディレクトリとなります。
第三者が設定した不正なプログラムやバックドアの場合は、/wp-content/uploads ディレクトリ配下に設置され、実行されるケースがございます。
そのため、不正に設置された場合でも、拡張子(.php .exe .sh .bat .cmd .psd .log .csh)の場合に限りアクセス制限されるため、結果として実行できない設定となります。

なお、WordPress のセキュリティに不安がある方は、Plesk コントロールパネルの WordPress の管理機能( WordPress toolkit )のご導入をおすすめ致しております。
詳細につきましては、以下のブログをご参照をいただきますようお願いいたします。WordPress toolkit をご利用には、Pleskを搭載したサーバへのご移行が必要となります。

<Pleskで WordPress のセキュリティチェックと対策をしてみた>
▼https://www.sthark.com/blog/6107/

Pleskコントロールパネルを搭載したサービスと致しましては、以下のサービスがございます。
ぜひ、弊社のサーバをご検討をいただきますようお願いいたします。

<Flex Web シリーズ>
▼https://www.sthark.com/flex-web-series/
WAF(※Secureプラン・Proプランのみ)を搭載したサービスとなります。
WAFは、WebサイトやWebアプリケーションへの一般的な攻撃を検知および防止するWebアプリケーションファイアウォールです。

<Flex Mini Cube シリーズ>
▼https://www.sthark.com/flex-mini-cube/

Categories: セキュリティ・設定, WordPress
Tags: セキュリティ, WordPress