で、WordPressなんですが、いろいろなサイト見てると結構デフォルトのままインストールされているBlogが多いなぁという印象を抱いた次第。個人的にお仕事でWordPress案件をやらせてもらうこともあるのですが、昔やった案件のサイトがその時のままで全然アップデートされてなかったり。これだけ認知されているCMSなのでデフォルトのまま利用するのはアレですよ、最低限これだけはやりましょうというヤツのメモを残しておきます。

SSL

これはWordPressとは直接関係ないですが、サイトを公開するにあたっては今どきは証明書をいれておいたほうがよいかと。ベリサインとかセコムとか言わないまでも個人サイトであればLet’s Encryptという無料のSSL証明書があるのでこれでよいでしょう。ただ更新のタイミングが3ヶ月と早いんですよね、cron回すか、ま、忘れずに手動更新するということで。

公開する場所(ディレクトリ)と管理画面を分ける

これは声を大にして言いたいのですが、/wp-admin/に管理画面置いているサイトがあまりに多すぎる。ビジネス目的のサイトでも多い。サーバのログ見てもらいたいのですが/wp-admin/とか/wp-admin/wp-login.phpへのアクセス、定期的に(しかも大量に)ないですか?総当たりを試されているかもしれませんよ。公開するディレクトリと管理画面は絶対に分けた方が吉です。できたら管理画面は特定のホストからしか接続できないようにするのがよいですが、外出先とかモバイルの回線から更新したいとかを考えたとしても、まぁ、せめてBasic認証くらいはやっておいて損はないです。

公開するほうのディレクトリに必要ないファイルを置きっぱなしにしない

前述で公開する所と管理画面を分けたほうがよいと書いたのですが、公開するほうにはできたらindex.phpとスタイルシートとかjavascriptとか画像だけ置いておくようにしましょう。XML-RPCなんかも特に必要なければこっちには置かないように。

WordPressは常に最新版にアップデート

メジャーアップデートは各方面で検討すべきことがあるのかもしれませんが、マイナーアップデートは常に最新にしておくべきです。結構な脆弱性も頻繁に出てきますしね、WordPressって。あと管理画面に「更新があります」とかいつまでも表示させておくのは精神衛生上よくないw。こういうのはさっさとやっておくべきです(この表示を非表示にするプラグインがあるみたいですが。根本的な解決ではないw)。
と、書いてて思ったけど、ビジネスでWordPressの案件を発注される方へ言いたいことを思い出したw。CMSの選定で「Wordpressは導入が無料ですから」なんかで決めないでくださいね。その後、頻繁にアップデートしていかなくちゃいけない(アップデートしていくべき)CMSなので、その辺りの条件も契約とか見積もりの前提条件に盛り込むのを忘れないようにしてください。条件に入れられないのであればアップデートの費用も考慮に入れて予算化と発注お願いいたしマス。ほんとVer3のまま放置されている(にもかかわらずコンテンツの更新がされている)サイトを見るにつけ心配になってくる、ま、総じてそういうサイトはデザインも陳腐なものになっているのですが。 最後にもうひとつ、アップデートしたほうがよいと思いつつ、サイトをつくった制作会社ともう連絡がとれない、等でお困りの方がいらっしゃいましたら、いつでもご支援させていただきますのでご連絡お待ちしてますw。

そんなわけで、WordPressとかEC-CUBEとか、OpenPNEもだけど、世に知れ渡ってるオープンソースのもの使う時はディレクトリの構成なりファイルの構成なりはデフォルトのまま使わないでね、という話でした。
テーマどうこうとかデザインどうこうは運用している中で改善できるけど、こういうことは設計の時にしかできないこともあるので、最初にやっときましょ。