苦労して作ったWordPressブログ。不正ログインでめちゃめちゃにされてしまったら悔しいですし、その後の復旧も大変!そこで、プラグインを使ってWordPressのセキュリティを高める方法を図解入りで詳しく解説します^^

自社メディアを持つ上で最有力の候補になるであろうプラットフォーム(基盤)であるWordPressですが、試行錯誤しながらある程度のアクセスを取っていき一定の規模になってくると、設立当初は検討にも入っていなかった問題が非常に多く出てきます。その中でも検討に漏れると取り返しのつかない事態に陥る可能性があるセキュリティー対策について最適なプラグイン(追加機能)をご紹介いたします。

そもそもセキュリティー対策とは?必要なの?

WordPressは初心者~大手法人まで本当に様々な利用用途で使われています。

ですが、初心者も参入(導入)しやすい為、セキュリティ対策が全くなされていないサイトが非常に多くみられるのも特徴です。
セキュリティ対策と記載するととっつきにくいかと思いますが、ご自身のPCにも何かしらのセキュリティソフトは導入されているかと思います。

その目的って何でしょう?
不正なアクセスや自身の大事なデータ、法人だと顧客のデータ売り上げデータインサイダー情報なんてものが流出したら一大事ですよね?

それに向けた対策だと思っていただければ重要性がご理解いただけると思います。

まだ導入していない、どんなタイミングで使うの?

本来は自社メディアの立ち上げのタイミングから導入すべきですが、現在不正なアクセスや他者に利用させていないのであれば、今からでもなんら問題ありません。
最近はオウンドメディア等の記事の外注で他者に利用させるパターンも増えてきていますので、
そういった方は法人個人問わずすぐに導入を検討してください。

All In One WP Security & Firewallを勧める理由

WordPressのプラグインにセキュリティソフトはたくさんありますが、一口にセキュリティソフトといっても

  • 不正アクセスの検知
  • 指定IP(WEB上の住所のようなものです)の排除
  • ログイン時間の上限指定
  • 利用機能制限

など対策したい内容を含めていったらきりがない為、包括的に対応できるAll In One WP Security & Firewallをお勧めします。

All In One WP Security & Firewallのインストール方法

では、まずはAll In One WP Security & Firewallのインストールから行っていきます。

ログイン画面から通常のID/PASSを入力します。

 

ダッシュボード内のプラグイン内の“新規追加”をクリック

キーワード内に【All In One WP Security & Firewall】と入力します。

自動で最上部に表示されますので、インストールをクリックしてください。
※現時点で60万件以上のインストール実績&750件以上の評価口コミがあり人気度を表しています。

有効化をクリック
※ダウンロードしただけでは動作しませんので注意してください。

All In One WP Security & Firewallの設定方法

All In One WP Security & Firewallは全部英語となるので項目を覚える必要があります。ブラウザの翻訳機能(画面上で右クリック→日本語に翻訳)を利用すればある程度は見ただけで分かるようになってはいると思いますが
すべての機能を設定する必要はないので最低限どの機能を設定すればいいのか、またその設定方法を解説いたします。

“有効化“をするとサイドバーに下記のように表示がされます。

Dash board:管理画面
Settings:全体の設定
User Accounts:ワードプレスのユーザー(管理人)に関わる設定
User Login:ログインに関する設定
User Registration:新規ユーザーの登録に関する設定
Database Security:データベースのバックアップなどの設定
Filesystem Security:ワードプレスのファイルなどの設定
WHOIS Lookup:WHOis情報の管理
Blacklist Manager:IPなどによるブラックリストを作成する機能の設定
Firewall:ワードプレスにファイアウォールを設定する
Brute Force:ブルートフォースアタック(ワードプレスに何回もログインを試みる攻撃)への対策の設定
SPAM Prevention:スパムコメントなどの対策の設定
Scanner:ワードプレス内部が不正なアクセスによって書き換えられていないかチェックする機能の設定
Maintenance:ワードプレスがメンテナンス中の時に表示しておく画面の設定
Miscellaneous:その他

引用:http://less-is-more.jp/all-in-one-wp-security-and-firewall/

WordPressのバージョン情報を消す

WordPressのバージョンは脆弱性の対策や機能の改善等の為に頻繁にアップデートします。
それに対応できていない場合、標準の状態のままだと悪意をもった第三者が簡単に調べることが出来てしまいます。
「古い脆弱なHPを使っている⇒情報をとっちゃえ」みたいになります。
一番良いのはアップデート後すぐに更新する事なのですが、そうもいきませんよね。そのために、WordPressのバージョン情報を外部から読み取れなくするための設定を行います。

まず、左側の【settings】をクリックして設定画面を開き
①WP Version infoをクリック
②の欄の先頭をクリックしてチェックマークを入れ
③Save settingをクリックして保存します。

スパムコメント制限する

下の画像の中で、上部のチェックボックスはコメント欄に簡単な足し算を入力するフォームを追加します。
多くのスパムメールは機械的に大量送信を行うのでこれだけで大分スパムメールを制限できます。
下部のチェックボックスはそもそもの記事へのコメントを制限します。
必要に応じてチェックを入れましょう。
コラム系のメディアであれば上部のチェックボックスは付けてもいいと思います。

ログインロックの設定

これは非常に重要なので日本語翻訳したうえで説明します。
第三者があなたのサイトの管理画面にログインを試みた際に指定回数間違えたらはじく為の機能です。
赤枠を入れた範囲をオススメの数値を記載しましたので設定してください。

ちなみに、下記のように設定すると、
5分間のあいだに3回ログインに失敗すると、そのIPアドレスからのログインを1時間ロックしてくれます。

手当たり次第にユーザー名やパスワードを入力して、不正ログインをしようとする輩をはじいてくれるのですね。

Database Security

これもWordPressは標準の状態だとの第三者がDB(データベース)の場所を特定できてしまい、簡単にアクセス出来てしまいますので、それを防ぐために設定しておきましょう。

下の赤枠欄に半角英数字でお好きな接頭辞と【_(アンダーバー)】を入力しましょう。

まとめ

まずは初心者のかたがやっておいた方がいい項目を解説しました、
All In One WP Security & Firewallはかなり多機能で記載以外の設定もありますが、全ての設定は、アクセスがある程度集まるようなサイトになってからで問題ありません。
まずは第三者からの悪意のあるアクセスに対して対策を行いましょう。