WordPress セキュリティ FP

• シェア
• 
• 

WordPressを運営していると、
必然的に全世界に公開されることになるため
セキュリティの設定もしっかりする必要があります。

とはいえ、僕らFPはITやネットの専門家ではないので
大事なのは分かっていても、そこはできるだけ
楽したいもの。

そこで、WordPressに最低限必要な
セキュリティ設定とやらをしてみました。

All in one WP Security プラグインを使う

WordPressのセキュリティ設定をするための
環境やプラグインはたくさんあるようです。

まずどれにするかから迷ってしまうのですが
今回はネット上でも評価が高そうな
「All in one WP Security」という
プラグインを使ってみることにしました。

「All in one WP Security」プラグインは
その名の通り、これ一つでWordPressの
様々なセキュリティ対策に対応しています。

ただ、冒頭のとおり、僕たちFPは
セキュリティの専門家ではありません。

ですので、All in one WP Security
プラグインが持っている
いくつかの機能を有効化し
「最低限」これだけやっておけばまずは安心だろう
という項目をピックアップしてみます。

プラグインをインストールしたら管理メニューに
「WP Security」というメニューが現れますので
その中から以下の3つ、

• Settingsメニューから、WordPressのバージョン情報を隠す
• User Loginメニューで、ログイン回数の制限をする
• Brute Forceメニューで、ログインURLを変更する

これだけで最低限のセキュリティ設定が完了します。
（これだけで最低限OKという理由も、
このプラグインで分かるようになります。
後ほど、お伝えします）

ではひとつずつ見ていきましょう。

なお、以下の設定を進める前に万一のために
WordPressのデータベースのバックアップ等を
しておくことをお勧めします。

データベースのバックアップも、
ある意味セキュリティ対策の一つです。

Settingsメニューから、WordPressのバージョン情報を隠す

WordPressのページには、標準では
WordPressのバージョン情報が記載されています。

これはブログを開いて見えるテキストではなく
HTMLソースの中に埋め込まれているので
普段は気づくことがありません。

ただ、ハッカーは古いWordPressの脆弱性を
利用しようとしますので、こうした情報は
隠しておくほうがセキュリティ上は得策。

ということでこちらの設定をしました。

User Loginメニューで、ログイン回数の制限をする

WordPressのアカウントはIDとパスワードですが
このIDとパスワードが知られてしまうと
かなりまずいです。

ブルートフォースアタック（総当たり攻撃）という方法で
このIDとパスワードを当てられてしまう事があります。

要は、パスワードを手当たり次第に入力して
あたったらラッキー、という方法ですね。

これを防ぐ有効な手段が「Login Lockdown」。

よく金融機関のログイン画面で
パスワードを3回間違えたらログインできなくなります、
というのと同じ対策ですね。

これを設定しましょう。

「WP Security」→「User Login」→「Login Lockdown」
の順に進みます。

「Enable Login Lockdown Feature」にチェックを入れ
以下を参考に適宜設定して「Save Settings」で完了です。

Brute Forceメニューで、ログインURLを変更する

パスワード流出が最も怖いので
できればもう一つ設定しておきましょう。

通常、WordPressのログインページURLは

http://あなたのドメイン/wp-admin/

です。

この「wp-admin」のところを
任意の文字列（URL）に変更できます。

あなただけが知っている文字列にすれば
そもそも攻撃する事ができなくなりますよね。

では「Brute Force」→「Rename Login Page」
を開きます。

「Enable Rename Login Page Feature」に
チェックを付けて、ドメイン以降の文字列を任意に変更、
「Save Settings」で保存。

一旦ログアウトして、ログインURLが変わっていることを
確認して完了です。

ただ、この設定はもし上手く行かなかったら
最悪ログイン出来なくなってしまう危険性もあります。

プラグインの説明をよく読み
慎重に設定してください。

（怖ければ、ログイン回数の制限だけでも有効だと思います）

どの程度セキュリティが向上したのか？

さて、手順としてはたったの3つですので
あっという間に終わると思います。

これだけの設定で、どれぐらい
セキュリティが向上したかというと…

こんな感じだそうです。

このメーターはWP SecurityのDashboardに
表示されています。

一応、グリーンの領域の一番下のところなので
「最低限」のセキュリティ向上は図れたのかな
というわけですね。

その他のWordPressの設定

「All in one WP Security」プラグイン以外で
セキュリティに関係する設定もついでに
チェックしておきましょう。

WordPressの常時SSL化

「常時SSL化」というのは一度は
耳にしたことがあるかもしれません。

これは「SSL」という暗号化された通信方式を
HTTP（ウェブページやブログ）に常時適用する方法です。

メリットとしてはブログにアクセスする個別の通信が
全て暗号化されるので、誰（IPや端末）が閲覧しているかや
フォームへの入力情報などが第三者に流出する
リスクを減らすことが出来ます。

また、WordPressの管理画面もSSL化しますので
管理者にとっても、より高いセキュリティ環境が手に入ります。

常時SSLについてはこちらの記事に
書きましたので、参考にしてください。

検索順位に影響する常時SSL化とは？初心者のための対処法。

Xサーバーの設定

お使いのレンタルサーバーがXサーバーの場合
海外IPからのWordPressダッシュボードへの
アクセス制限が可能です。

「WordPressセキュリティ設定」画面から

のように設定されていればOK。

もしOFFなら、「ONにする」で
設定してください。

不正アクセスは大抵の場合、
海外IPからのアクセスのようですので
これを設定しておくだけで
セキュリティが向上するそうです。

海外在住の方や、海外旅行中に
ブログを更新したいといった特殊な場合でなければ
ずっとONにしておいて問題ありません。

Xサーバーであればログイン試行回数制限なども
設定できますので、必要に応じて使い分けてくださいね。

以上、
楽して快適なWordPressライフを
お過ごしください。

• シェア
• 
•