WORDPRESSのセキュリティ対策を強化してみた

2017年6月2日

pixelcreatures / Pixabay

最近何かと荒らされるのが怖いので、セキュリティを一度見直してみました。3つのプラグインの導入と1つのWORDPRESSの設定を紹介します。

スポンサーリンク

SiteGuard WP Pluginの設定

不正ログイン、管理ページ(/wp-admin/)への不正アクセス、スパムコメントをガードしてくれます。
インストール方法はこちらからどうぞ →  SiteGuard WP Plugin の設定

下図のように私は設定しています。基本、全ての設定をチェックしておくのが良いと思いますが、私は下図のようにしています。
管理ページアクセス制限は自分のIPを以外から管理画面に入るのを制限しますが、事情により結構IPが変わるのでチェックを外しました。フェールワンスは、IDとパスワードが合っていても一度はログインさせないという機能ですが、面倒なので外してしまっています。

Wordfence Securityプラグイン

Wordfence Securityは、ファイアウォール、ウイルススキャン、IPブロックをしてくれたり、ライブトラフィックの監視や、ログインの安全性の確保をしてくれるプラグインです。基本、インストールしたままで良いと思いますが、私は以下の5つだけディフォルトから修正しています。

Basic Option

Update Wordfence automatically when a new version is released?
「新バージョンが出たら自動的にアップデートする」をチェックする。

Advanced Option

Alert

Maximum email alerts to send per hour
1時間に送る最大のe-mailアラートの数を10にする。

Login Security Options

Lock out after how many login failures
「何度ログイン失敗したらログインロックをかけるか」を、10回まで下げる。

Lock out after how many forgot password attempts
「何度パスワードを間違えたらログインロックをするか」を、10まで下げる。

Other Options

How much memory should Wordfence request when scanning
「Wordfenceがスキャンする時、サーバーにどの程度のメモリ要求をするか」を、254Megabyteから64Megabyteまで下げる。これはサーバー負荷を下げるためです。

WORDPRESSの日本語版を使っている場合のアラート

実際にScanメニューからスキャンをすると、下図のファイルについてのアラートが出てきました。
WordPress core file modified: readme.html
WordPress core file modified: wp-config-sample.php
これらは、説明に日本語が入っているためにオリジナルの英語版とちがうというアラートだと思います。特別に何かするわけではないので、放っておいて大丈夫だと思います。私は、エラーの下にあるResolve:から「Ignore until the file changes」をクリックしておきました。ページの一番下にある「プロフィールの更新」ボタンを押すのを忘れないようにしてください。

ユーザー名をニックネームに変更する方法

ディフォルトではコメント欄や記事に自分の名前=ログイン名が出てきてしまいます。これをニックネームに変更したいと思います。
「ダッシュボード」→「ユーザー」→「あなたのプロフィール」と移動します。①ニックネームを変更してください。私の場合は、管理人としました。ニックネームが変更できたら②ブログ上の表示名を変更したニックネームに変更してください。最後に、ページの一番下にある「プロフィールの更新」ボタンを押すのを忘れないようにしてください。

 

Edit Author SlugでログインIDを見えなくする

あなたの所有するサイトがhttp://example.com/とした時、

http://example.com/?author=1

とドメインの後に「?author=1」をつけると、

http://example.com/archives/author/ユーザー名

とログインユーザー名がバレてしまう事になります。これは非常にまずいです。なのでEdit Autor Slugプラグインを入れてユーザー名を表示させないようにしましょう。

まずはEdit Author Slugプラグインをインストールしてください。

Edit Autor Slugの設定

インストールが終わったら、「ダッシュボード」→「ユーザー」→「あなたのプロフィール」と移動してください。
下図のように、画面の一番下にEdit Autor Slugの設定が出るようになります。ここで「Custom」を選択して、適当な名前にしてください。ページの一番下にある「プロフィールの更新」ボタンを押すのを忘れないようにしてください。これでログインユーザー名がバレないようになりました。

スポンサーリンク