.htaccessに最低限設定しておいたほうが良いこと

簡単で結構効果のあるセキュリティとして.htaccessの設定がありますが、最低限下記の設定はしておくと良いと思います。

https://gist.github.com/anonymous/bc370f7917bc24d8b525589bbc6cbb46

1-4行目は.htaccessへの外部からのアクセス拒否、6-11行目はwp-config.phpファイルへの外部からのアクセス拒否です。

ちょっとだけ解説

1-4行目は.htaccess自体へのファイルアクセスを拒否することで、どんな設定をしているのかを隠すことが出来ます。

セキュリティの基本は攻撃者に情報を与えないことですので、これはやっておいたほうが良いと思います。

（見えても「書き換えられなければ良い」という考え方もありますが）

wp-config.phpはデータベースやWordPressの重要情報が詰まっています。

通常、phpファイルは外部アクセスではソースを見ることが出来ません（語弊を恐れず言うなら、「実行ファイル扱い」になるため）。

しかし、悪い人たちはそんな事を乗り越えちゃうずる賢さを持ってたりします。

ともかく、wp-config.phpが見えてしまうともう、WordPressは丸裸です。念には念を入れて死守しましょう。

パーミッション大事！

あと、.htaccessのパーミッションは必ず644等、外部からの書き込みなど出来ないようにしましょう。

（殆どの共用サーバーは644推奨になっていますが、まれに604推奨になってたりします）

wp-config.phpのパーミッションは600で良いと思います。

プラグインなどでまれにwp-config.phpの書き換えが必要になるものがあったりしますので、書き込み出来るようにしておくのが良いかと・・・。

プラグインにも勝手はさせねえ！という硬派な方は書き込み不可の400でどうぞ。