WordPressのセキュリティ強化設定

構築できたWordPressに対してセキュリティ強化ができる設定の変更点をいくつか学んだのでメモする。

1,ディレクトリリスティングの無効化 意味:ディレクトリリスティングはURLでディレクトリにアクセスした時、そのディレクトリの中身が表示される機能。公開してはいけないものが漏れる可能性がある。 手順:(apacheの場合)httpd.confのOptionsからIndexesを削除する。

#Options Indexes FollowSymLinks
#Indexesは含めない
Options FollowSymLinks

2,レスポンスヘッダーからPHPのバージョン表示を隠す 意味:バージョンが公開されることで攻撃者にとってはヒントになる可能性がある。本来の用途はページがPHPで動作していることを確認できるという程度なので、必要なければ隠しておいたほうが良い。 手順:php.iniのexpose_phpをoffに変更し、apacheを再起動。php-fpmの場合はそちらを再起動。

#expose_php = on
expose_php = off

余談 apacheで構成してたのにphp-fpmで動作してたせいでphp.iniの反映にしばらくかかった。