Securityプラグインを入れてセキュリティ対策(初心者向け)

All In One WP Security

どうも、スマコマのコマ太郎です。元気もりもり

WordPress は世界でもっとも使われている CMS なので、悪い人たちに狙われやすいというデメリットがあります。

ゆえにセキュリティ対策は必ず講じておきたいです。そうしないとガツガツ攻撃され、知らない間に改ざんされる憂き目にあうことも。

そこで今回はセキュリティ対策で入れておきたい、もう1つのプラグインをご紹介しますね。

ちなみにセキュリティ対策で入れておきたい1つ目のプラグインはこちらです。

セキュリティ対策に「All In One WP Security & Firewall」プラグインを使おう

WordPress のセキュリティ対策で使いたいプラグインが「All In One WP Security & Firewall」です。

All In One WP Security & Firewall

https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

このプラグインを入れることで、多くのセキュリティ対策を行うことができます。

ただ、なんでもかんでも設定をしてしまうと利便性が損なわれるので、このページではぼく個人の推奨設定をご紹介できればと思います。

「All In One WP Security & Firewall」プラグインをインストールする

まず「All In One WP Security & Firewall」プラグインをインストールしてください。

プラグインのインストール方法がわからない人はこちらをご覧ください。>> 新しいプラグインをインストールする、もっとも一般的な方法

「All In One WP Security & Firewall」の設定を行う

このページでは、これくらいは設定しておきたいという箇所をご紹介します。

まず現状を確認してみましょう。管理画面のメニューにある [WP Security]-[Dashboard] をクリックします。

Dashboardの画面

Dashboardの画面

現在のセキュリティの状態がスコアで表示されます。通常、何も対策をしていなければイエローゾーンになっているかと思います。

WordPress のメタ情報をカットする

WordPress で作成したサイトには、WordPressのバージョン情報が metaタグの中に仕込まれてしまいます。どのバージョンの WordPress を使っているか外部から見えることが出来てしまうので、これを削除します。

手順

[WP Security]-[Settings] をクリックし、画面上部にある [WP Version Info]タグをクリックします。

WP Version Info

WP Version Info

[Remove WP Generator Meta Info:] にチェックを入れ、[Save Settings] をクリックします。

アカウントのロックアウトの設定を行う

WordPress では何回ログインしてもロックアウトすることがありません。ロックアウトというのは、不正ログインを防ぐため、間違ったパスワードでログインを試行したとき、一時的に使えない状態にすることです。

銀行のキャッシュカードなどに利用されているセキュリティ対策で、これはぜひ設定しておきたいです。

手順

[WP Security]-[User Login] をクリックし、[Enable Login Lockdown Feature] のチェックをオンにします。

Login Lockdown Options

Login Lockdown Options

以下はデフォルトのままでOKです。ちなみにぼくは、[Max Login Attempts] を 2 にしています。

設定を変更したら、[Save Settings] をクリックし保存します。

[Max Login Attempts]:[Login Retry Time Period (min)]で設定した時間内に、この回数間違えるとロックアウトします。
[Login Retry Time Period (min)]:計測する時間(単位は分)
[Time Length of Lockout (min)]:ロックアウトする時間(単位は分)

ファイルのセキュリティレベルを高める

WordPress のファイル改ざんを防ぐのに役立つのが、ファイルのパーミッションを変更することです。

FTPソフトを使って手で行うこともできますが、このプラグインを使うと推奨値に簡単に変更することができます。

手順

[WP Security]-[Filesystem Security] をクリックします。

Filesystem Security

Filesystem Security

グリーンは問題ないファイルです。オレンジ、または赤の場合、ファイルの右側に表示される [Set Recommended Permissions]ボタンをクリックしてパーミッションのレベルを上げましょう。

おまけ:ログインURLを変更する

ログインURLを変更することは、不正なログインを防ぐのにかなり役立ちます。

ただURLを変更すると利便性が損なわれるので、使用には注意が必要です。ログインURLをブックマークしておくのが望ましいです。

ログインURLを忘れてしまうとログインできなくなるので注意してくださいね。

※この設定はおまけです。やるか、やらないかは各自で判断してください。
※個人的には、Author Slugプラグインを使って、ユーザー名のスラッグを変更していれば、この設定は不要と考えています。

手順

[WP Security]-[Brute Force] をクリックします。

[Enable Rename Login Page Feature] のチェックを入れます。[Login Page URL] でログインURLを設定します。[Save Settings] をクリックし保存します。

Rename Login Page Settings

Rename Login Page Settings

ログインURLは、簡単にわかるような名前(例えば login)ではなく、出来るだけユニークなものがよいでしょう。

セキュリティレベルを確認する

最後にどのくらいセキュリティのレベルが上がったか確認してみましょう。

Dashboard の画面

Dashboard の画面

[WP Security]-[Dashboard] をクリックしてください。スコアが上がってグリーンレベルに達しているはずです。

ウィジェットからメタ情報を削除する

WordPress をセットアップすると、デフォルトでサイドバーにメタ情報(ログインURLなど)が掲載されてしまいます。

サイドバーのメタ情報

サイドバーのメタ情報

「All In One WP Security & Firewall」プラグインを使ってログインURLを変更しても、このメタ情報を掲載していては、ログインURLが丸見えなので必ず削除しておきましょう。

なお、「All In One WP Security & Firewall」プラグインでログインURLの変更を行っていない場合でも、ログインURLが丸見えになるメタ情報は掲載しないほうがいいでしょう。

手順

管理画面の [外観]-[ウィジェット] をクリックします。

ウィジェットの削除方法

ウィジェットの削除方法

ウィジェットエリアにある、[メタ情報] をクリックし、[削除] をクリックします。

※使用しているテーマ(テンプレート)によってウィジェットエリアの内容は違います。

まとめ

「All In One WP Security & Firewall」プラグインを入れて、上記の設定を行うことで基本的なセキュリティ対策が完了します。

とりあえずの設定でよければ、これで十分です。

なお、「All In One WP Security & Firewall」にはかなり細かな設定があり、さらにセキュリティレベルを高めることができます。

例えばデータベースのセキュリティレベルを高めることが出来たり、Basic Firewall 機能があったりと理解して使えればかなり強力です。

ただ高度であるため機能を理解していないと難しい上、メニューも英語なのでわかりにくいですよね。

機会があれば1つ1つ説明したいところですが、項目多いなーってことで、ちょっと先かな(笑)

 コメント/質問、お気軽にどうぞ。

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

HTMLサイトマップを用意してみよう

HTMLサイトマップを生成できるキャッシュ機能付きプラグイン

サイドバーをカスタマイズする

トップページ、カテゴリー、投稿(記事)ページでサイドバーを変えたい

WordPressのエディタだけバージョンアップ前に戻し、以前のビジュアルエディ...

見ている記事と同じカテゴリーの記事一覧をサイドバーに表示できるプラグイン

手軽にWordPressの画像ファイルを更新したい!そんなときに使えるプラグイン

トップページをおしゃれに自作カスタマイズしたいなら、このプラグイン