まったくもって素人なので、何もできてないかもしれませんが、例えば最低限、以下のようなセキュリティ設定をしておきます。
(01).htaccessのパーミッション:604
(02)wp-config.phpのパーミッション:400
(03)php拡張子ほか、すべてのファイルの基本パーミッション:604
(04)フォルダのパーミッション:705
(05)ログインURL:SITEGUADにて、暗号めいたURLに変更
(06)wp-adminフォルダなどにアクセスしてログイン画面に不正アクセス:SITEGUADにて、回避。テストOK。
(07)画像認証ログイン:SITEGUADにて、有効
(08)XMLRPC防御:SITEGUADにて、有効
(09)Pinbackの無効化:XMLRPC防御をすればついでにPinbackも防御できる仕組みのようです。
(10)ユーザー名:スペースを2つ以上含み記号も使って暗号めいた名前にした。
(11)姓、名、ニックネーム等:ユーザー名とはまったく無縁かつ極度に短い、推測できないものにした
(12)パスワード:wordpressが自動生成してくれる25桁のパスワード(暗号化ドライブで管理)
(13)WAF:なし。Acunetix WP Security とAll In One WP Security & Firewall を入れ、とAll In One WP Security & Firewall のファイアウォール機能で代替とした。
(14)MySQLデータベースのパスワード:変更なし
(15)MySQLデータベースのテーブルプレフィックス:wp_ から 大文字小文字アンダーバーを含んだxxxxxに変更
(Acunetix WP Security にて、wp-config.php を いったん400から604に変更してからプレフィックスを変更した。)
wp-config.php を 400にしていると、
「The wp-config file MUST be writable!(wp-configファイルは書き込み可能でなければなりません。)」と出るので、604にしてからプレフィックスを変更し、終わったら400に戻した。
(16)トップページのURLのWP関連名を含むか?:含む→レンタルサーバのコントロールパネルからは直せなかった。契約したレンタルサーバでは面倒になりそうなのであきらめた。
(17)phpMyAdminのパーミション→契約したレンタルサーバでは一応777だけど、オーナー権限でも開けないみたい。FFFTPでは矢印のついたフォルダアイコンになっている(シンボリックリンクだそう。問題はないのか?よくわかりません。)
