サイトのセキュリティを強化するプラグイン「All In One WP Security」
WordPressは便利なソフトではありますが、それゆえにハッキング・クラッキングの攻勢に晒されることも多いです。 例えばデフォルトの状態であればURLに「サイト名/login.PHP」と入れるだけでログイン画面に入れてしまいます。 ここに毎日数百万回アタックされれば、いつの間にかサイトを乗っ取られるかもしれません。
何かしらセキュリティ対策が必要なのですが、代表的なのが「All In One WP Security」での対処です。
ログインに制御をかける
メニューから「User Login」を選択してください。
ここではログイン画面での連続試行を制御します。以下が設定すべき項目です。
- Enable Login Lockdown Feature(ログインに制限をかけるか) → チェック!
- Max Login Attempts(何度ログインに失敗したらロックするか) → 3のままでOK
- Login Retry Time Period(何分内のログインをカウントするか) → 5のままでOK
- Time Length of Lockout(一度ロックをかけたら何分入力禁止にするか) → 60のままでOK
他にも色々ありますが、要は「Enable Login Lockdown Feature」にチェック入れるだけで十分です。 入力したら一番下の「Save Setting」を押して保存しましょう。
これでログイン画面への総当たりアタックは現実的に突破できないレベルに防げます。 たったこれだけでWordPressへのアタックの大部分を防ぐことができ、逆にこれを怠るとやりたい放題されます!(.htaccessなどで設定するなら別ですが)
最低でもログイン制御はやりましょう。
User Accounts
一応確認ですが、アドミン権限を持っているユーザーは「admin」だの「administrator」だの分かりやすい名前ではありませんよね? 違うならここは気にせずOKです。次に進んでください。
もしこの画面で警告が出るような分かりやすい名前の場合、今すぐ「Edit User」をクリックして名前を変えてください! 遷移先はユーザーWordPressのプロフィール編集画面なので、特にプラグインの機能としてはお話ししません。
SPAM Prevention
メニューから「SPAM Prevention」を選択してください。
コメントに関するセキュリティを設定します。
「Enable Captcha On Comment Forms」にチェックすると、コメント入力時に足し算が求められます。 botやSPAMは大抵これに答えられないので、スパムコメントを制御することができます。 チェックしたら一番下の「Save Setting」を押して保存しましょう。
他にスパムコメントを制御するプラグインと言えば「Akismet」があります。 あちらはコメントフォームに入力されたスパムコメントを判別して削除するものなので、少し作用が違います。 両方設定しておくのが一番間違いないでしょう。
Brute Force
メニューから「Brute Force」を選択してください。
ブルートフォースアタックに関するセキュリティを設定します。
そもそもWordPressへの侵入は、wp-login.PHPがバレバレな場所にあるからダメなのです。 この設定により、ログインするURLを変更することができます。
- Enable Rename Login Page Feature(ログインURLを変更する) → チェック!
- Login Page URL(ログイン画面のURLを入力する) → 任意の推測されにくい文字列を入力
入力したら一番下の「Save Setting」を押して保存しましょう。 自分がログインするURLを変わるので、忘れないように。
Dashboard
ここではサイトのセキュリティ状況をUIで確認することができます。 左上の「Security Strength Meter」を確認してみてください。メーターが緑色なら最低限は大丈夫でしょう。 (もちろん点数が高い方が望ましいですが)
他にもどこが弱いかなどが俯瞰的に分かるので、気になるならセキュリティ設定をしましょう。
もし貴方がサーバの権限を持っておらず、またセキュリティや他のプラグインの事もよく分からないのであれば、このプラグインに全て任せるのも一つの手だと思います。
ただこの画面はあくまでこのプラグインでの設定状況を表したものなので、本当の意味でのセキュリティとはまた別の話です。 サーバ側の設定や他のプラグインでセキュリティ強化しても、ここには反映されません。あくまで一つの目安として見ておきましょう。