ホルダのセキュリティ設定とプラグインの選び方
-
こんにちは、ワードプレスすこしづつ、勉強しながら使わせていただいています。
やや、硬い質問なのかもしれませんが、アドバイスを期待しています。
2.7から(?)、FTPしなくても、プラグインを検索して、自動的にインストール出来るようになり、興味のあるプラグインを、気軽に使ってみる事ができるようになり、手放せない感が日々増大しています。
そのような中で、少し不安になるような事柄も発見するようになりました。例えば、以下のような事例です。wp-dbmanager というプラグインの場合。
このプラグインは、データベースのバックアップを作成してくれるプラグインなのですが、wp-content直下のbuckup-dbディレクトリにバックアップファイルを保存してくれます。
このファイルは、以下のように命名されるようです。
### Backup File Name $backup['filename'] = $backup['date'].'_-_'.DB_NAME.'.sql';
データベースを見たからといって、すぐに、パスワードがわかるわけでもなく、不正にログインされたり、知らないうちにページが作れるわけでもありませんが、ID一覧やメールアドレスを持っていかれるのは困ります。
データベースバックアッププラグインは、それが、wordpressで使っていないテーブルでも、ダンプします。(あくまで、エンドユーザの個別の環境問題ですが、)
このような、ちょっと不安な事柄を解決する方法について、
フォーラムの過去記事を見てみても、効果の薄い対策や、プラグインを疑問視する声も見られます。wp-contentディレクトリのアクセス制限についてにお伺いしたいのですが、
(今のところ、backup-dbについて、.htaccessで、Order deny,allow deny from all していますが)このように、より簡単にプラグインのインストールが出来る環境が整ってきている中で、いろんなプラグインを試す事ができるように、より、汎用的なせっていとして
wp-contentに対するアクセスも、何らかの制限をしておくべきなのではないだろうかと考えますが、皆さんは、どうおもいますか? やっておくべき設定等を、出来れば具体的に、助言いただきたくお願いします。また、プラグインを信頼できるかどうか、どんな方法で評価していますか?教えていただけると助かります。
参考にした話題や、気になった声:
http://ja.forums.wordpress.org/topic/408(インストール後安全のために必要な事)巷にあふれている対策は、作業コストに対する効果が不明なものが多く、意味がない場合も多いです。
http://ja.forums.wordpress.org/topic/354?replies=15#post-1707
WordPress のセキュリティーですが、基本的には「WordPress コアは常に最新にする」「プラグインを極力入れない」でしょう。はっきり言うと、WordPress は開発者自身がセキュリティーに少し甘く、セキュアな設計になってないため、ユーザーががんばっても限界があります。
- トピック「ホルダのセキュリティ設定とプラグインの選び方」には新たに返信することはできません。