ワードプレスの設定

WordPressはセキュリティ対策が弱い?all in one wp securityの設定

2020年4月10日

セキュリティ対策

『ワードプレスって、セキュリティは大丈夫?』

『ログインの乗っ取りがあると聞いたことがあるんだけど』

『自分のブログを乗っ取られたくない!』

 

ワードプレスはセキュリティが甘いと聞いたことはありますか?

じつはデフォルトの状態だと、セキュリティが弱いのです。

 

 

特に最初のログインIDとパスワードの入力画面では注意が必要。

ランダムな数字を組み合わせて、ハッカーにサイトを乗っ取られる可能性があります。

 

 

そこで、セキュリティ対策を万全にしたいという方に

『All In One WP Security』というプラグインを紹介します。

導入すればハッキング防止に役立ちますよ。

 

『all in one wp security&firewall』のインストール

『all in one wp security&firewall』のインストールは、ワードプレスの管理画面から行います。

【プラグイン】→【新規追加】から、検索バーに【all in one wp security&firewall】と入力。

 

【今すぐインストール】をクリックして、プラグインのインストールがされます。

そして、プラグインの【有効化】を選択しましょう。

 

『all in one wp security&firewall』の設定と使い方

WordPressのバージョン情報を隠す設定(WP Version info)

初期設定では、プログラム上の<head>と呼ばれる部分にバージョンが表示されています。

ワードプレスのバージョン情報は隠したほうが良いのです。

なぜなら、自分のバージョンが知られてしまうからです。

 

もし、古いバージョンを使っていればセキュリティを突破される恐れがあります。

バージョンを隠すことで、セキュリティの強化につながります。

 

User Login

ログインロックの設定(Login Lockdown)

ログインロックダウン

『User Login』は、ログインに失敗すると一定時間、ログインが禁止状態にできる機能。

そのため、ハッカーなどから自分のブログを守るのに有効です。

下記の設定をご覧ください。

 

  • Enable Login Lockdown Feature:チェックを入れると機能が有効になる
  • Allow Unlock Requests:ログイン禁止状態になったユーザーが管理者に解除申請を送信できる設定。私の場合は設定していません。
  • Max Login Attempts:ログインに挑戦できる回数で失敗するとブロックされます。3回に設定。
  • Login Retry Time Period (min):ログインの制限時間です。設定時間内にログインできないと失敗扱い。5分に設定。
  • Time Length of Lockout (min):ログイン禁止状態になったユーザーがアクセスできない時間です。60分に設定。
  • Display Generic Error Message:ログイン失敗した時に、通常のエラーメッセージのみを返します。
  • Instantly Lockout Invalid Usernames:登録しているユーザー名以外を入力すると、即ログイン禁止になります。条件が厳しすぎるので私は設定していません。
  • Instantly Lockout Specific Usernames:入力したユーザー名をログイン画面で入力すると、即ログイン禁止にします。
  • Notify By Email:誰かがログイン禁止になると、入力したメールアドレスあてに通知が来ます。

一定時間でログアウト

ログインしても、一定時間が経てば自動的にログアウトする機能。

Enable Force WP User Logout:一定時間で強制的にログアウトさせます。

Logout the WP User After XX Minutes:ログアウトの設定時間。600分に設定。

 

Firewallの設定

Basic Firewall Rules

firewallの設定

  • Enable Basic Firewall Protection:基本的なファイアウォール設定が有効になります。
  • Completely Block Access To XMLRPC:
  • Disable Pingback Functionality From XMLRPC:

 

firewallの設定2

どちらかにチェックをいれますが、上段の「Completely Block Access To XMLRPC」の方がセキュリティが強力。

不具合が出る場合は、「Disable Pingback Functionality From XMLRPC」を選択します。

 

ブルートフォースアタックからサイトを守る

ブルートフォースアタックとは『総当たり攻撃』と意味。

ランダムなIDとパスワードでログインするハッキングの手法です。

 

私の場合は、『Login Lockdown』を有効にしているため、Brute Forceは設定していません。

もしも、ハッキングが心配な方はこちらも設定してください。

 

まとめ

ワードプレスはデフォルトの状態だと、セキュリティが甘いです。

『All In One WP Security』を導入すればハッキング防止に役立ちます。

また、パスワードの入力制限や別の人物がログインすると、メールでお知らせしてくれる機能もあるから便利です。

 

プラグインを揃えたら、次はワードプレスのテーマが必要になります。

私のオススメするワードプレステーマについてはこちらをご覧ください。

【WEB制作者の私が選ぶ】ブログに最適なワードプレスのテーマ3選

 

 

それでは、また!

  • この記事を書いた人

アラフォーフリーランサーすぎにい

どうも!アラフォーフリーランサーすぎにいです。 サイト管理人について詳しく知りたい方はこちら。

おすすめ記事

オーディブル 1

あなたは最近、読書をしていますか? 『読書したいけど、集中力がないから読めない』 『そもそも本を読むのが苦手や~』 という方もいらっしゃるでしょう。   実を言うと、私も集中力がないので、読 ...

2

「給料が少なくて、いつも金欠状態、家族にも贅沢をさせてやれない。」 「何か副業をして、今の経済状況を早く改善したい。」 そんな感じで、副業に興味を持った方も多いですよね?     ...

ワードプレスでブログ 3

「ワードプレスは、アメブロやライブドアブログよりも検索に強い。」 「ブログはワードプレス一択でしょ!」 と言われても、ブログ初心者にとってはハードルが高いですよね?     私は2 ...

-ワードプレスの設定
-

Copyright© すぎにい公式ブログ | 初心者フリーランス講座 , 2020 All Rights Reserved.