どうも、スマコマのコマ太郎です。
WordPress は世界でもっとも使われている CMS なので、悪い人たちに狙われやすいというデメリットがあります。
ゆえにセキュリティ対策は必ず講じておきたいです。そうしないとガツガツ攻撃され、知らない間に改ざんされる憂き目にあうことも。
そこで今回はセキュリティ対策で入れておきたい、もう1つのプラグインをご紹介しますね。
ちなみにセキュリティ対策で入れておきたい1つ目のプラグインはこちらです。
もくじ
セキュリティ対策に「All In One WP Security & Firewall」プラグインを使おう
WordPress のセキュリティ対策で使いたいプラグインが「All In One WP Security & Firewall」です。
All In One WP Security & Firewall
このプラグインを入れることで、多くのセキュリティ対策を行うことができます。
ただ、なんでもかんでも設定をしてしまうと利便性が損なわれるので、このページではぼく個人の推奨設定をご紹介できればと思います。
「All In One WP Security & Firewall」プラグインをインストールする
まず「All In One WP Security & Firewall」プラグインをインストールしてください。
プラグインのインストール方法がわからない人はこちらをご覧ください。>> 新しいプラグインをインストールする、もっとも一般的な方法
「All In One WP Security & Firewall」の設定を行う
このページでは、これくらいは設定しておきたいという箇所をご紹介します。
まず現状を確認してみましょう。管理画面のメニューにある [WP Security]-[Dashboard] をクリックします。
Dashboardの画面
現在のセキュリティの状態がスコアで表示されます。通常、何も対策をしていなければイエローゾーンになっているかと思います。
WordPress のメタ情報をカットする
WordPress で作成したサイトには、WordPressのバージョン情報が metaタグの中に仕込まれてしまいます。どのバージョンの WordPress を使っているか外部から見えることが出来てしまうので、これを削除します。
手順
[WP Security]-[Settings] をクリックし、画面上部にある [WP Version Info]タグをクリックします。
WP Version Info
[Remove WP Generator Meta Info:] にチェックを入れ、[Save Settings] をクリックします。
アカウントのロックアウトの設定を行う
WordPress では何回ログインしてもロックアウトすることがありません。ロックアウトというのは、不正ログインを防ぐため、間違ったパスワードでログインを試行したとき、一時的に使えない状態にすることです。
銀行のキャッシュカードなどに利用されているセキュリティ対策で、これはぜひ設定しておきたいです。
手順
[WP Security]-[User Login] をクリックし、[Enable Login Lockdown Feature] のチェックをオンにします。
Login Lockdown Options
以下はデフォルトのままでOKです。ちなみにぼくは、[Max Login Attempts] を 2 にしています。
設定を変更したら、[Save Settings] をクリックし保存します。
[Max Login Attempts]:[Login Retry Time Period (min)]で設定した時間内に、この回数間違えるとロックアウトします。
[Login Retry Time Period (min)]:計測する時間(単位は分)
[Time Length of Lockout (min)]:ロックアウトする時間(単位は分)
ファイルのセキュリティレベルを高める
WordPress のファイル改ざんを防ぐのに役立つのが、ファイルのパーミッションを変更することです。
FTPソフトを使って手で行うこともできますが、このプラグインを使うと推奨値に簡単に変更することができます。
手順
[WP Security]-[Filesystem Security] をクリックします。
Filesystem Security
グリーンは問題ないファイルです。オレンジ、または赤の場合、ファイルの右側に表示される [Set Recommended Permissions]ボタンをクリックしてパーミッションのレベルを上げましょう。
おまけ:ログインURLを変更する
ログインURLを変更することは、不正なログインを防ぐのにかなり役立ちます。
ただURLを変更すると利便性が損なわれるので、使用には注意が必要です。ログインURLをブックマークしておくのが望ましいです。
ログインURLを忘れてしまうとログインできなくなるので注意してくださいね。
※この設定はおまけです。やるか、やらないかは各自で判断してください。
※個人的には、Author Slugプラグインを使って、ユーザー名のスラッグを変更していれば、この設定は不要と考えています。
手順
[WP Security]-[Brute Force] をクリックします。
[Enable Rename Login Page Feature] のチェックを入れます。[Login Page URL] でログインURLを設定します。[Save Settings] をクリックし保存します。
Rename Login Page Settings
ログインURLは、簡単にわかるような名前(例えば login)ではなく、出来るだけユニークなものがよいでしょう。
セキュリティレベルを確認する
最後にどのくらいセキュリティのレベルが上がったか確認してみましょう。
Dashboard の画面
[WP Security]-[Dashboard] をクリックしてください。スコアが上がってグリーンレベルに達しているはずです。
ウィジェットからメタ情報を削除する
WordPress をセットアップすると、デフォルトでサイドバーにメタ情報(ログインURLなど)が掲載されてしまいます。
サイドバーのメタ情報
「All In One WP Security & Firewall」プラグインを使ってログインURLを変更しても、このメタ情報を掲載していては、ログインURLが丸見えなので必ず削除しておきましょう。
なお、「All In One WP Security & Firewall」プラグインでログインURLの変更を行っていない場合でも、ログインURLが丸見えになるメタ情報は掲載しないほうがいいでしょう。
手順
管理画面の [外観]-[ウィジェット] をクリックします。
ウィジェットの削除方法
ウィジェットエリアにある、[メタ情報] をクリックし、[削除] をクリックします。
※使用しているテーマ(テンプレート)によってウィジェットエリアの内容は違います。
まとめ
「All In One WP Security & Firewall」プラグインを入れて、上記の設定を行うことで基本的なセキュリティ対策が完了します。
とりあえずの設定でよければ、これで十分です。
なお、「All In One WP Security & Firewall」にはかなり細かな設定があり、さらにセキュリティレベルを高めることができます。
例えばデータベースのセキュリティレベルを高めることが出来たり、Basic Firewall 機能があったりと理解して使えればかなり強力です。
ただ高度であるため機能を理解していないと難しい上、メニューも英語なのでわかりにくいですよね。
機会があれば1つ1つ説明したいところですが、項目多いなーってことで、ちょっと先かな(笑)
↓↓
