WordPressの「最低限」のセキュリティ設定をしてみました。

466 ビュー

WordPressを運営していると、
必然的に全世界に公開されることになるため
セキュリティの設定もしっかりする必要があります。

とはいえ、僕らFPはITやネットの専門家ではないので
大事なのは分かっていても、そこはできるだけ
楽したいもの。

そこで、WordPressに最低限必要な
セキュリティ設定とやらをしてみました。

All in one WP Security プラグインを使う


WordPressのセキュリティ設定をするための
環境やプラグインはたくさんあるようです。

まずどれにするかから迷ってしまうのですが
今回はネット上でも評価が高そうな
「All in one WP Security」という
プラグインを使ってみることにしました。

「All in one WP Security」プラグインは
その名の通り、これ一つでWordPressの
様々なセキュリティ対策に対応しています。


ただ、冒頭のとおり、僕たちFPは
セキュリティの専門家ではありません。

ですので、All in one WP Security
プラグインが持っている
いくつかの機能を有効化し
「最低限」これだけやっておけばまずは安心だろう
という項目をピックアップしてみます。


プラグインをインストールしたら管理メニューに
「WP Security」というメニューが現れますので
その中から以下の3つ、



  • Settingsメニューから、WordPressのバージョン情報を隠す
  • User Loginメニューで、ログイン回数の制限をする
  • Brute Forceメニューで、ログインURLを変更する


これだけで最低限のセキュリティ設定が完了します。
(これだけで最低限OKという理由も、
このプラグインで分かるようになります。
後ほど、お伝えします)

ではひとつずつ見ていきましょう。

なお、以下の設定を進める前に万一のために
WordPressのデータベースのバックアップ等を
しておくことをお勧めします。

データベースのバックアップも、
ある意味セキュリティ対策の一つです。


Settingsメニューから、WordPressのバージョン情報を隠す


WordPressのページには、標準では
WordPressのバージョン情報が記載されています。

これはブログを開いて見えるテキストではなく
HTMLソースの中に埋め込まれているので
普段は気づくことがありません。

ただ、ハッカーは古いWordPressの脆弱性を
利用しようとしますので、こうした情報は
隠しておくほうがセキュリティ上は得策。

ということでこちらの設定をしました。



User Loginメニューで、ログイン回数の制限をする


WordPressのアカウントはIDとパスワードですが
このIDとパスワードが知られてしまうと
かなりまずいです。

ブルートフォースアタック(総当たり攻撃)という方法で
このIDとパスワードを当てられてしまう事があります。

要は、パスワードを手当たり次第に入力して
あたったらラッキー、という方法ですね。

これを防ぐ有効な手段が「Login Lockdown」。

よく金融機関のログイン画面で
パスワードを3回間違えたらログインできなくなります、
というのと同じ対策ですね。

これを設定しましょう。

「WP Security」→「User Login」→「Login Lockdown」
の順に進みます。



「Enable Login Lockdown Feature」にチェックを入れ
以下を参考に適宜設定して「Save Settings」で完了です。



Brute Forceメニューで、ログインURLを変更する


パスワード流出が最も怖いので
できればもう一つ設定しておきましょう。

通常、WordPressのログインページURLは

http://あなたのドメイン/wp-admin/

です。

この「wp-admin」のところを
任意の文字列(URL)に変更できます。

あなただけが知っている文字列にすれば
そもそも攻撃する事ができなくなりますよね。


では「Brute Force」→「Rename Login Page」
を開きます。



「Enable Rename Login Page Feature」に
チェックを付けて、ドメイン以降の文字列を任意に変更、
「Save Settings」で保存。



一旦ログアウトして、ログインURLが変わっていることを
確認して完了です。

ただ、この設定はもし上手く行かなかったら
最悪ログイン出来なくなってしまう危険性もあります。

プラグインの説明をよく読み
慎重に設定してください。

(怖ければ、ログイン回数の制限だけでも有効だと思います)


どの程度セキュリティが向上したのか?


さて、手順としてはたったの3つですので
あっという間に終わると思います。

これだけの設定で、どれぐらい
セキュリティが向上したかというと…



こんな感じだそうです。

このメーターはWP SecurityのDashboardに
表示されています。

一応、グリーンの領域の一番下のところなので
「最低限」のセキュリティ向上は図れたのかな
というわけですね。


その他のWordPressの設定


「All in one WP Security」プラグイン以外で
セキュリティに関係する設定もついでに
チェックしておきましょう。


WordPressの常時SSL化


「常時SSL化」というのは一度は
耳にしたことがあるかもしれません。

これは「SSL」という暗号化された通信方式を
HTTP(ウェブページやブログ)に常時適用する方法です。

メリットとしてはブログにアクセスする個別の通信が
全て暗号化されるので、誰(IPや端末)が閲覧しているかや
フォームへの入力情報などが第三者に流出する
リスクを減らすことが出来ます。

また、WordPressの管理画面もSSL化しますので
管理者にとっても、より高いセキュリティ環境が手に入ります。

常時SSLについてはこちらの記事に
書きましたので、参考にしてください。

検索順位に影響する常時SSL化とは?初心者のための対処法。




Xサーバーの設定


お使いのレンタルサーバーがXサーバーの場合
海外IPからのWordPressダッシュボードへの
アクセス制限が可能です。

「WordPressセキュリティ設定」画面から


のように設定されていればOK。

もしOFFなら、「ONにする」で
設定してください。

不正アクセスは大抵の場合、
海外IPからのアクセスのようですので
これを設定しておくだけで
セキュリティが向上するそうです。


海外在住の方や、海外旅行中に
ブログを更新したいといった特殊な場合でなければ
ずっとONにしておいて問題ありません。


Xサーバーであればログイン試行回数制限なども
設定できますので、必要に応じて使い分けてくださいね。


以上、
楽して快適なWordPressライフを
お過ごしください。



ps.

保険が必要?

いや、保険を売らなくてもFPは十分やっていけますよ。


プロフィール
行列FPメルマガ

コメントフォーム

名前

 

メールアドレス

 

URL

 

 

コメント

トラックバックURL: 
プロフィール

こんにちは、林FP事務所代表の林健太郎です。ブログご訪問ありがとうございます。

ファイナンシャルプランナー(CFP®)、工学博士(阪大)。ライフプラン相談100世帯以上、個別の資産運用相談等を中心にFP業で収入を得ていますが、ネット集客が得意で北は北海道、南は沖縄まで日本全国に顧客を持っています。

FPは集客が難しいと言われる中、ネットだけで集客に成功しているFPはさらに少ないと思いますが、その秘密をメルマガでお伝えしています。

メルマガ詳細

プロフィール
メディア掲載実績など
FPジャーナル2018年9月号
2018年9月、日本FP協会の機関紙「FPジャーナル」(約20万部)の特集「長期x分散x積立投資を徹底検証」に林の記事が掲載されました。(→プロフィール




PHPくらしラク〜る2017年12月号・2018年1月号短期集中連載の監修をさせて頂きました。(→プロフィール



日経ヴェリタス2016-08-14

日経ヴェリタス2016年8月14日号「確定拠出年金 とことん活用術」にコメントが掲載されました。(→プロフィール



イオンカード会員誌mom 2015年12月号(30万部)に監修記事

イオンカード会員誌mom 2015年12月号(30万部)に監修記事が掲載されました。



FP事務所ブログが月間16万アクセスを超えました



FP事務所メルマガ読者様が 4,000名 を超えました。



プロフィール詳細はこちら

お問い合わせ
人気記事 月間TOP10
最近の投稿