WordPressのセキュリティ強化に効果的な「 All In One WP Security & Firewall 」の利用方法
WordPressのセキュリティ強化に効果的な「 All In One WP Security & Firewall 」を利用する方法です。
All In One WP Security & Firewall プラグインは、セキュリティ関連の対策をいっぺんに行えるプラグインです。
このプラグインで行えるセキュリティ対策としては主に以下のものになります。
- WordPressのログインに関するセキュリティ対策
ログイン試行回数の制限
ログイン禁止時間の設定
ブルートフォースアタック対策
ログインURLの変更
All In One WP Security & Firewall プラグインを利用する方法です。
プラグインの新規追加
「プラグイン 」から「 新規追加 」をクリック
キーワード検索
キーワード欄に「 All In One WP Security & Firewall 」と入力しすると
All In One WP Security & Firewall プラグインが表示されるので「 今すぐインストール 」をクリック
「 インストール中 」と表示されプラグインがインストールされる
「 インストール中 」が「 有効化 」になったら、「 有効化 」ボタンを押して
プラグインを有効化にする。
インストール完了
All In One WP Security & Firewall の設定
WP Security をクリックして、All In One WP Security & Firewall の設定をする
最初に表示される画面の「 Security Strength Meter 」のメーターが
緑色になっているとセキュリティの対策がなされているというパラメータになるみたい。
日本語化
このプラグインは日本語化しないと英語なのでどんな設定があるかわからないんだけど、
Chromeとかで翻訳するとほぼほぼ読めるようになるので何とかなります。
以下、個別の設定方法です。
・WordPressのログインに関するセキュリティ対策
ログインURLの変更
「 Brute Force 」をクリックして、WordPressのログイン画面のURL(http://ドメイン名/wp-login.php)を
初期設定と異なるURLに変更します。
①チェックを入ます。
②ここに入力任意のログインファイル名を入力します。
「 http://ドメイン名/wp-login.php 」に代わる、新しいログインページを指定します。
より強固なセキュリティにするには、英数字記号を組み合わせたものにします。
(忘れないものにしてください。)
③変更を保存
「 Save Setting 」をクリックし、設定を保存します。
ログイン試行回数の制限、ログイン禁止時間の設定
「 User Login 」をクリックして、WordPressのログイン画面への試行回数の制限を行います。
設定値
- Enable Login Lockdown Feature:機能の有効
- Allow Unlock Requests:自動アンロックリクエストリンクを生成
- Max Login Attempts:ログイン試行回数
3回なら、「Login Retry Time Period (min)」の設定時間内に3回失敗すると
そのIPアドレスがブロックされます。
- Login Retry Time Period (min):Max Login Attemptsの試行回数の制限時間
60分なら、60以内に「Max Login Attempts」の試行回数のログインに失敗すると
そのIPアドレスがブロックされます。
Time Length of Lockout (min):ブロックされたIPアドレスがログイン画面にアクセスできない時間
IPアドレスがブロックされた場合、ここで設定された時間内は管理画面にアクセスできません。
- Display Generic Error Message:一般的なエラーメッセージを表示します。
- Instantly Lockout Invalid Usernames: 登録しているユーザ名以外でのログイン
登録しているユーザ名以外でログインを試みると即時ロックされます。
- Instantly Lockout Specific Usernames:即時ロックするユーザ名の指定
即時ロックするユーザ名を指定します。
admin、root、userなど、機械的な攻撃に使われそうなログインユーザ名を入れます。
- Notify By Email:メール通知
通知するメールアドレスを入力します。
この設定では注意点があります。
「 Instantly Lockout Invalid Usernames: 」の設定を有効にした場合、
管理者自身もログインユーザ名、パスワードのどちらかを間違えた場合、
「 Time Length of Lockout (min) 」で設定された時間、
ログイン画面にアクセスできません。
ログインユーザ名、パスワードをブラウザに保存させるなどしないと
ロックされる可能性があります。
デフォルトの設定は60分ですので、60分もログイン画面にアクセスできなくなります。
私は以下のように設定しています。
① Enable Login Lockdown Feature に、チェックを入れ機能を有効にします
② Time Length of Lockout (min) を、3分に設定
私自身もパスワードを間違えることもあるので、ロック時間を短くしています。
③ Instantly Lockout Invalid Usernames に、チェックを入れ登録しているユーザ名以外で
ログインすると即時ロックるようにします。
Time Length of Lockout (min)は短くしましたが、この設定で登録しているユーザ名以外の
ログインが試行された場合に即時ブロックします。
④「 Save Setting 」をクリックし、設定を保存します。
強制ログアウト時間の設定
強制ログアウト時間の設定を行います。
①「 Force Logout 」をクリックして、強制ログアウトの設定画面を開きます。
② Enable Force WP User Logout にチェックを入れ、強制ログアウトを有効にします
③「 Save Setting 」をクリックし、設定を保存します。
ログの確認
「 Failed Login Records 」
ログイン失敗履歴が表示されます。
「 Account Activity Logs 」
ログイン成功履歴
「 Logged In Users 」
現在ログイン中のユーザー一覧
コメント機能を無効化
「 SPAM Prevention 」をクリックして、コメント機能を無効化を行います。
① Enable Captcha On Comment Forms に、チェックを入れ機能を有効にします
コメントを入力する場合に、簡単な足し算を行うように設定します。
② Block Spambots From Posting Comments に、チェックを入れ機能を有効にします
コメント入力フォームから入力されたコメントのみ受け付けるようにします。
外部サイトやロボットが記事を表示せずにコメントを残すことをできなくします。
③「 Save Setting 」をクリックし、設定を保存します。
WordPressのバージョン情報を隠す
「 Settings 」をクリックして、WordPressのバージョン情報を隠す設定を行います。
①「 WP Version Info 」をクリックして、WordPressのバージョン情報を隠す設定を行います。
② Remove WP Generator Meta Info にチェックを入れ、WordPressのバージョン情報を隠す設定を有効にします
③「 Save Setting 」をクリックし、設定を保存します。
さいごに
All In One WP Security & Firewall の各設定はセキュリティ対策になることはなりますが、この対策がすべてというわけではありません。
WordPressはとにかく攻撃が多いですので、きちんと設定を行っておきましょう。