SQLite版WordPressだからと言ってセキュリティの問題は無いと考えています。そこは別記事をご確認頂くとして、実際に「99円でWordPress!」ではどのようなセキュリティ対策を行っているか、まとめました。何かの参考になれば幸いです。
常時SSLやWAF等の標準機能
まずはロリポップ!レンタルサーバー自体に備わっているセキュリティ対策です。ロリポップ!レンタルサーバーはエコノミープラン(月額 99円〜)でも常時SSLが標準機能となっています。常時SSLは、サイト全体でSSLによる暗号化を行うことです。SSLによる暗号化で保護すれば、第三者からデータを盗み見られたり、改ざんされるリスクを防ぐことができます。
また、WAF(ウェブアプリケーションファイアウォール)も入っています。これはウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的にブロックするものです。
BASIC認証
常時SSLがまだ一般的でなかった時代は、「BASIC認証は平文でパスワードが流れるから危ない」といった定説が長くありました。しかし、上記の通り常時SSL化され、BASIC認証のIDとパスワードもSSLによる暗号化の恩恵があります。
当サイトでは管理画面(/wp-admin)をBASIC認証で保護しています。それにより、管理画面へのID/PWのログイン試行ができないようにしています。
セキュリティプラグイン
仮にBASIC認証のID/PWが漏れた場合、次に管理画面を守る必要がありますが、当サイト「99円でWordPress!」ではセキュリティプラグイン「Limit Login Attempts Reloaded」を入れています。このプラグインはアクティブな WordPress で2,000,000以上のインストール数を誇る、非常に人気のセキュリティプラグインです。このプラグインではブルートフォース (総当り) 攻撃からサイトを保護し、指定された再試行制限に達した後、IPアドレスやユーザー名がそれ以上ログインを試行できないようにブロックし、ブルート フォース攻撃を困難なものにします。
ちなみにデフォルトのWordPress では無制限のログイン試行が許可されていますが、正直なところこのプラグインは標準で入れておいても良いくらいな気がします。
DBのパーミッション
念のため、不要なアクセス権限を与えない方がより良いと考え、SQLite自体のパーミッションは標準の644ではなく、600にしています。さらに、wp-config.php も600にしています。パーミッションについてはこちらの記事もご覧ください。
以上が当サイトで行っているセキュリティ対策です。案外、データベースがSQLiteだとセキュリティ的に不安といった意見があったりしますが、以前も書いた通り個人的にはそこまでMySQL版とセキュリティ上の遜色は無いと思いますし、これまで述べた対策で大丈夫だろうとは考えています。
何かの参考になれば幸いです。