こんな疑問、お悩みありませんか?
・WordPressのセキュリティ面に不安がある
・セキュリティ強化のプラグインが多すぎて、どれを入れてよいのか分からない
・セキュリティ強化って何をしてれば良いの?
本記事ではこういった疑問に答えていきます!
筆者はWordPressでサイトを50サイト以上作成しており、実際に全てのサイトに今回紹介する「All In One WP Security & Firewall」を導入しています。
私は過去に改ざんなどの攻撃を受けたことがあり、悪意ある第三者の攻撃によりサイトが閲覧できなくなったり、有害なサイトへ強制的に遷移させられるなど散々な目にあってきました、、、
そのときにセキュリティ対策としてプラグインを調べていた際に見つけたのが、今回紹介する「All In One WP Security & Firewall」でした。こちらを導入してから被害は0になりました!設定項目が英語+数が多いので、オススメの設定をご紹介させて頂きます!
はじめに「All In One WP Security & Firewall」を新規追加・有効化する
まずはじめにWordPress管理画面から「All In One WP Security & Firewall」を新規追加し有効化します。
①サイドバーのプラグイン > 新規追加をクリックします。
②右上の検索欄に「All In One WP Security & Firewall」と入れると自動的に検索されます。
③「All In One WP Security & Firewall」を見つけたら「今すぐインストール」をクリックインストールが終わるとボタンは「有効化」に変わるので更に押下する
これでプラグインが、追加され有効化されました。
それでは次からおすすめの設定をご紹介していきたいと思います!
WordPressのバージョンを非表示に使用
設定箇所:WP Security > Settings > WP Version Info
Remove WP Generator Meta Info
こちらは使用しているWordPressのバージョン情報を、コード内から削除してくれます。ハッカーなどは、サイトをクロールし古いバージョンかどうかを確認しています。ですのでWordPressバージョンが分からないよう設定しておきましょう。
ユーザーログイン設定(ログインロックダウン機能)
設定箇所:WP Security > User Login > Login Lockdown
①Enable Login Lockdown Feature(ログインロックダウン機能を有効化します)
②Notify By Email:(ログインロックダウン機能が発動した場合、指定のメールに通知が届きます)
※必要な場合はこちらも
③Max Login Attempts(最大ログイン試行回数)
④Login Retry Time Period (min)(ログイン再試行時間【分】)
⑤Time Length of Lockout (min)(ロックアウトの時間の長さ【分】)
ログインロックダウン機能とは、指定回数(デフォルト:3回)連続でログインを失敗すると、そのIPアドレスは指定時間(デフォルト:60分)管理画面へアクセスできなくなります。ログイン画面はブルートフォースアタック(総当たり攻撃)を受けやすいのですが、それから守ってくれる機能となります。
WordPress管理画面からの、PHPの編集を無効化
設定箇所:WP Security > Filesystem Security
Disable Ability To Edit PHP Files
WordPressの管理画面(外観 > テーマエディター)からファイルを変更できないように制限します。有効化するとテーマエディターの項目は非表示になります。万が一管理画面に入られた場合に、ファイルを編集されるのを防ぎます!
ファイアウォール設定
基本的なファイヤーウォール設定
設定箇所:WP Security > Firewall > Basic Firewall Rules
こちらのページは全てチェックを入れましょう!
・htaccessファイルとwp-config.phpへアクセスできないようにする
・xmlrpc.phpへのアクセスをブロックする
・debug.logへのアクセスブロックする
※XML-RPCとは、WordPressと外部のシステムを通信可能にするものです。(外部からWordPressを操作したりなど)
追加のファイアウォール設定
設定箇所:WP Security > Firewall > Additional Firewall Rules
こちらのページも全てチェックを入れましょう!
・インデックスビューを無効
・Cross-Site Tracing(XST)の防止
・プロキシサーバーを経由したコメントを禁止
・クロスサイトスクリプティング(XSS)対策
偽のGoogle Botをブロック
設定箇所:WP Security > Firewall > Internet Bots
①Block Fake Googlebots
・偽のGoogle Botをブロックします
画像のホットリンクをできないようにする
設定箇所:WP Security > Firewall > Prevent Hotlinks
①Prevent Image Hotlinking
・画像が他サイトでリンク使用されないようにします。
ブルートフォースアタック対策
設定箇所:WP Security > Rename Login Page
①Enable Rename Login Page Feature(ログインページの名前変更機能を有効化)
②Login Page URL(ログインページURLの指定)
ログインページの標準のURLから自由に変更することができます。標準のままにしていると、知らぬ間に攻撃を受けていることがほとんどですので、絶対に変更しましょう。
コメントスパム対策
設定箇所:WP Security > Comment SPAM
①Enable Captcha On Comment Forms(コメントフォームでキャプチャを有効にする)
②Block Spambots From Posting Comments(コメントの投稿からスパムロボットをブロックする)
上記設定にてスパムコメントを防止します。サイトの閲覧数が増えてくると、スパムコメントも増えていきます。こちらを設定して対策しましょう!
これでオススメ設定は以上となります、お疲れさまでした!
まとめ
今回は「All In One WP Security & Firewall」のオススメ設定方法をご紹介させて頂きました。大切なサイトになにかあってからでは遅いので、一番最初に設定しておきましょう。より良いWordPressライフを!
