IDにadminなど簡単なものは使わず、なるべく長めに
IDが特定できたらあとはパスワードを総当たりにされます。
よく使われるadminは絶対使わないようにしましょう。
IDがオーナーページのパーマリンクに使われるので対策プラグインを入れる
IDがそのままスラッグなどに使われるデフォルトの仕様がどうかと思いますが、対策はあります。
「wp-login.php」「/wp-admin/」にアクセス制限をかける
一番ベストなのはサーバー側で上記ディレクトリにアクセスすることを不能にしてしまうことです。
ただ、IP固定は環境でしか操作できなくなるので、大き目の会社ならば対策可能かもしれませんが、
いろいろな環境で使われるのであればかなり面倒です。
ベーシック認証という手もありますが、
プラグイン「All In One WP Security & Firewall」で上記ディレクトリにアクセスしても無意味にしてやりましょう。
「wp-config.php」を、アクセス不可に設定する
wp-config.phpのパーミッションを400に
また「.htaccess」に以下を追加
<files wp-config.php>
order allow,deny
deny from all
</files>
画像認証
アクセスログ
「Crazy Bone」というプラグインでIPや
サイト全体のSSL化
SSLはずいぶん身近になりました。
後からだと面倒なので、できるなら最初から導入しておきましょう。
定期的なバックアップを
どれだけ対策をとっても
特にWordpressはSQLなどすべてWebで完結しているので簡単にはバックアップを取れません。
ただ、基本的には空き巣は
意味のない対策
・WordPressのバージョン情報についてを非表示にする
