All In One WP Security でワードプレスのセキュリティを上げよう！

こんにちは！
最近インスタを勉強、運用を本格的にはじめたGlobal Web Designの福田です。

WordPressはとても人気のあるCMSで、ハッカーから狙われてしまう可能性があります。

せっかく頑張ってWebサイトを作って、コンテンツやブログを書いたのにハッカーから攻撃されてしうのは嫌ですし、事前に守れるのであれば、ちゃんとハッカーの攻撃に備えておきたいですよね。

そこで今回は、前回紹介したWordPressのプラグイン(WordPressオススメのプラグインのご紹介！はこちら)の中からセキュリティを上げるプラグイン「All In One WP Security」の設定方法をご紹介します！

All In One WP Securityとは

「All In One WP Security」はWordPressのセキュリティ対策を実施してくれるプラグインになっています。
WordPressサイトの脆弱性をチェックし、WordPressで推奨される最新のセキュリティ対策を実装できるので、セキュリティリスクを減らすことができます。

All In One WP Security をインストール

では「All In One WP Security」をインストールしていきましょう。
WordPressの管理画面に入ったら、「プラグイン」を押して「新規追加」を押します。

プラグインを追加の画面で検索窓に「All In One WP Security」と入力します。
そして「All In One WP Security」の「今すぐインストール」を押します。

インストールした後に「有効化」を押すと、これで「All In One WP Security」をインストールできました。

All In One WP Securityの設定

「All In One WP Security」をインストールしたら、設定をしていきましょう。
インストールしたあと有効化することによってダッシュボードに「All In One WP Security」が表示されます。

ここから各項目ごとに設定していきます。
「All In One WP Security」は機能が多いため、今回は特に重要な部分をご紹介していきます。

ユーザーアカウント

WPユーザー名

ユーザ名に「admin」というユーザー名があるかチェックして、あった場合は違うユーザー名の変更ができます。
「admin」というユーザー名がある場合は必ず変更しましょう。

WordPressのユーザ名は「admin」はサイバー攻撃に狙われやすいユーザ名で、WorePressではユーザ名に「admin」が使われることが多いため、WorePressではユーザ名をインストールの段階で「admin」以外のユーザー名にするのが良いでしょう。

「admin」でユーザ名を設定してしまった場合「WPユーザー名」からユーザ名を変更できるので、「admin」から変更しておきましょう！

ユーザーログイン

ログイン制限

IPアドレスによるログインブロック、ログインのロックをするための設定項目になります。

「ログインロックダウン機能を有効化」をチェックし、ロックダウン機能を有効化します。

「ロック解除リクエストを許可」はアカウントがロックされたときに、本人である証明をしてログインを再チャレンジすることができます。

「最大ログイン試行回数」はログインを何回リトライできるか設定できます。
「5」 と入れているので5回ログインをリトライできます。

「ログイン再試行時間 (分)」は「最大ログイン試行回数」がその時間に発生したら、そのIPアドレスをブロックします。
今回の場合5分以内に5回ログインを失敗したらブロックという指定になります。

「ログイン再試行時間 (分)」「最大ログイン試行回数」でログインを失敗してから何分間そのIPアドレスをブロックするかの設定になります。

強制的にログアウト

「強制的にログアウト」 は正しくログインしても、一定の時間が経過したら強制的にログアウトさせる設定になります。
今回は600分と設定したので、 ログインしてから10時間すぎると強制的にログアウトになります。

ファイルシステムセキュリティ

ファイルのパーミッション

パーミッションとは英語で「許諾」いう意味で、ファイルとディレクトリの所有者である「ユーザー」、所有者と同じグループに属するすべてのユーザー「グループ」、その他のユーザー「その他」にそれぞれ「読み込み」「書き込み」「実行」権限を与えるかどうか設定できます。

「ファイルのパーミッション」はサイバー攻撃の脆弱性になりやすいファイルの権限をチェックして、パーミッションの設定をしてくれます。

「推奨パーミッションを設定」を押すだけで設定は完了するので、設定しておきましょう。

WP File Access

「WP File Access」ではWordPressインストールで配信される readme.html、license.txt、wp-config-sample.php などのファイルへのアクセスを防ぐことができます。

「WP デフォルトのインストールファイルへのアクセスを防止」をチェックしても問題がおきることはなさそうでしたら、有効にしておきましょう。

ファイアウォール

ここではファイヤーウォールの設定をできます。

基本的なファイヤーウォール設定

「基本的なファイアウォール保護を有効化」にチェックを入れると

• .htaceessファイルへのアクセスを拒否
• サーバーの署名を無効化
• アップロードサイズを制限
• wp-config.php ファイルへのアクセスを拒否

することができます。

WordPress XMLRPCとピンバック脆弱性保護

「XML-RPC へのアクセスを完全にブロック」か「XML-RPC のピンバック機能を無効化」のどちらかを有効にします。

ご自身のWebサイトで外部投稿機能を使っていない場合は、「XML-RPC へのアクセスを完全にブロック」の方がセキリュティが強いです。

Jetpackや外部投稿機能を使用している場合や、「XML-RPC へのアクセスを完全にブロック」で不具合が出る場合は「XML-RPC のピンバック機能を無効化」にチェックを入れましょう。

デバッグログファイルへのアクセスをブロック

WordPressのwp-content/debug.logへのアクセスを禁止にできます。

総当たり攻撃

ログインページの名称を変更

ログインページの名称を変更することができます。

WordPressの管理画面は「https://サイトURL/wp-admin」「https://サイトURL/wp-login」にアクセスすると管理画面ログイン画面が表示されます。

デフォルトの設定のままだと、誰でも管理画面ログイン画面にたどり着けてしまいます。
そこで、ログインページの名称を変更することで管理画面ログイン画面にたどりつけないようにできます。

「ログインページ URL」に入力したURLが管理画面になりますので、「ログインページ URL」を忘れてしまうと、自分がログインできなくなってしまいますのでメモなどを取って保存してください。

ログインCaptcha

「ログインCaptcha」ではログイン画面にCaptcha認証をすることができます。

「All In One WP Security」のCaptcha認証は数字を使った計算の入力を行います。

「Google reCAPTCHA をデフォルトとして利用する」をクリックするとログイン画面、ユーザー登録、パスワード変更、コメントなどにGoogle reCAPTCHAが適用されます。

スパム防止

コメントスパム

「コメントフォームにCAPTCHAを追加」にチェックを入れると、投稿のコメントフォームにCaptchaが追加されます。

「スパムボットのコメントをブロックする」にチェックを入れるとスパムボットのコメントをブロックするルールを追加してくれます。

↓↓↓↓ 動画解説 ↓↓↓↓

まとめ

いかがでしたでしょうか？
今回は「All In One WP Security」の設定方法をご紹介しました！

ユーザー登録などほかにもセキュリティをかけれる箇所はありますが、今回は早くセキュリティをかけたい方のために大事な部分をご紹介しました。

Webサイトのセキュリティはとても大事になってくるので、ハッカーに攻撃されても良いようにセキュリティをかけましょう！