セキュリティ対策にプラグインAll In One WP Securityを設定しよう

All In One WP Securityとは

All In One WP Securityは、不正アクセスに対して様々なセキュリティ強化に効果的です。また、有効インストール100万以上と利用者数も多く、信頼性は高いプラグインと思います。

• ログインURLの変更

• ログイン認証機能の強化

• ユーザーアカウント名の確認

• スパム対策

また、WordPressのバージョン情報を非表示にする・自動ログアウトなどプラグインを導入しただけで総合的なセキュリティ対策が可能です。その中でこれは肝心なセットアップだと私が思うものを紹介させていただきます。

管理者ユーザーのセキュリティ

レンタルサーバによくある簡単インストール。その初期設定で「admin」がユーザー名として自動で作成されがちです。adminが自動生成のユーザー名としておくのは非常に危険度は高く、ブルートフォース攻撃の標的とされます。All In One WP Securityの機能として、adminがユーザー名にあるか・あれば変更するよう、チェックしてくれます。

adminユーザーが存在しなければ、良いセキュリティ慣行と表示されます。

head内よりWPバージョン情報の非表示

初期設定では、head内に利用中のバージョン情報が表示されます。バージョンが古いと脆弱なサイトとみなされとても危険です。

バージョン情報を非表示にするだけでもセキュリティ対策となりますね。

ログインロックダウン設定

指定したログイン試行回数以上失敗した場合、そのIPアドレスに対して一時的にログインができなくなります。ロックダウン設定よりブルートフォース攻撃から、ユーザー名とパスワードが盗まれることを防げます。

ログインロックダウン機能を有効化にチェックを入れれば、初期設定のままでも十分かと思います。上記の設定詳細は、5分以内に3回ログインを失敗した場合、そのIPアドレスは60分間ログインが禁止されるという設定がされています。またメールで通知にチェックを入れ、メールアドレスを入力しておけば、ログインロックが動作した時にメールで情報が届きます。

ログインページのURL変更

wordpressは通常ドメイン名/wp-login.php のログインURLから誰でもアクセスでき、攻撃が可能な状態となります。しかし、ログインページURLを変更する事で、wordpress運用上効果的なセキュリティ強化となります。

キャプチャ設定

キャプチャ機能は、ログインページに簡単な足し算を入力する「Simple math CAPTCHA」。Google reCAPTCHAに登録されている方は、「Google reCAPTCHA V2」を選択して「Site Key」と「Secret Key」を入力する事でGoogle reCAPTCHA機能を利用する事ができます。

Simple math CAPTCHAを使用すると下記ログイン画面になります。

Google reCAPTCHAを使用すると下記ログイン画面になります。

スパム防止

コメントスパムの大部分は、主に自動化されたボットによって作成されたものです。スパム防止機能はスパムボットからのコメント試行を検出します。検出の施行としては、通常のコメントはフォームに入力し送信ボタンを押すことによってコメントが送信されますが、スパムボットより送信されるコメントは、 wp-comments-post.phpファイルを直接呼出すことにより行われます。スパム防止機能はこれらのコメントを検出して、完全に破棄・スパムとしてマークすることができます。

まとめ

いかがでしたでしょうか。今回はWordpress導入にあたって便利なセキュリティ対策プラグインAll In One WP Securityの多機能設定の中より、運用の中でセットアップされるとよりセキュリティ対策となる機能についてご紹介致しました。もちろん、All In One WP Securityには他にも機能があり、設定する事でさらに効果的なセキュリティ対策を設ける事ができると思います。安全なサイト運営の一歩として頑張って設定していきましょう。

以上となります。できる限りわかりやすく伝えようとしても書くのは難しいです。
コードや記事の書き方について気になるところがあれば、アドバイスいただけると嬉しいです。