WordPress2.7へのアップグレードとセキュリティ対策


WordPressを2.2.1から2.7へバージョンアップした際の覚書(セキュリティ関係を中心に)

※バージョンの確認 : p-includes/version.phpに記載がある。

アップグレードの情報源

wordpress.orgの記載

「アップグレードの前に、index.php など変更した可能性のあるすべてのファイルのバックアップコピーを必ずとってください。
1. 変更したファイルを保存し、古い WP ファイルを削除します
2. 新しいファイルをアップロードします
3. ブラウザで /wp-admin/upgrade.phpにアクセスします
4. もっと何かしたかったですか ? これだけです !」
さらに詳しい手順は Codex 日本語版の「WordPress のアップグレード」を参照してください。」

セキュリティ対策

ファイルの削除

wp-admin/install.php,wp-admin/upgrade.phpの削除

wp-config.phpのパーミッション

604へ変更

認証用ユニークキーの設定(2.6以降から追加)

wp-config.phpで設定する。


define('AUTH_KEY', 'キーの値'); // 固有の語句に変更してください。
define('SECURE_AUTH_KEY', 'キーの値'); // 固有の語句に変更してください。
define('LOGGED_IN_KEY', 'キーの値'); // 固有の語句に変更してください。

認証用ユニークキーは2.7でも必須ではないが、セキュリティのために設定することが推奨される。

ユニークキー作成アドレス http://api.wordpress.org/secret-key/1.1/

adminの変更

新たに管理者権限のユーザーを作成。
ログアウトし、作成したユーザーでログインしてadminを削除。

wp-adminディレクトリ(管理者画面)のアクセス制限

.htaccessによるアクセス制限

テーブル接頭字(プレフィックス)の変更

wp_からwp_1234_へ変更する場合の例(実際は推測されにくい文字列)。

1.wp-config.phpの設定

$table_prefix = ‘wp_1234_’

2.DBの変更

2-1 テーブル名の変更

RENAME TABLE `wp_comments` TO `wp_1234_comments`;

RENAME TABLE `wp_links` TO `wp_1234_links`;

RENAME TABLE `wp_options` TO `wp_1234_options`;

RENAME TABLE `wp_postmeta` TO `wp_1234_postmeta`;

RENAME TABLE `wp_posts` TO `wp_1234_posts`;

RENAME TABLE `wp_terms` TO `wp_1234_terms`;

RENAME TABLE `wp_term_relationships` TO `wp_1234_term_relationships`;

RENAME TABLE `wp_term_taxonomy` TO `wp_1234_term_taxonomy`;

RENAME TABLE `wp_usermeta` TO `wp_1234_usermeta`;

RENAME TABLE `wp_users` TO `wp_1234_users`;

2-2 フィールドの値を変更

UPDATE wp_1234_options SET option_name = 'wp_1234_user_roles' WHERE option_name = 'wp_user_roles';

UPDATE wp_1234_usermeta SET meta_key = 'wp_1234_capabilities' WHERE meta_key = 'wp_capabilities';

UPDATE wp_1234_usermeta SET meta_key = 'wp_1234_user_level' WHERE meta_key = 'wp_user_level';

コメント

No comments yet.

コメントの投稿

改行と段落タグは自動で挿入されます。
メールアドレスは表示されません。