All in One WP Security & Firewallでセキュリティを強化 前編

Plugins
この記事は約8分で読めます。

WordPressでブログを運営していく上で気を付けておきたいのがセキュリティです。Wordpressは、とても多機能で便利なので世界中で最も広く使われているCMS(Contents Management System:コンテンツ・マネジメント・システム)なのですが、だからこそ、悪意あるハッカーから狙われやすいソフトウェアでもあります。

Webサイトやブログをインターネットで公開していると、必ずと言っていいほど悪意ある攻撃を受けます。そして怖いのは、何も対策をしていないと攻撃を受けていることに気づくこともできません。まだ特別な対策をしていない方は、是非、今回ご紹介するプラグインをご自身のWordpressにインストールしてブログのセキュリティを強化しましょう。

All in One WP Security & Firewallについて

WordPressは、無償で利用できるソフトウェアでありながら非常に機能が豊富で、Wordpres自体がブログを作成・運営するのに便利なCMSなのですが、Wordpressを更に便利にするものとして様々な機能をもった多くのプラグインと呼ばれるアドオンソフトウェアがあり、中には有償のものや、一部機能を有償としているものもありますが、無償でも優秀なものが揃っています。

今回ご紹介するプラグイン「All in One WP Security & Firewall」は、Wordpressのセキュリティを強化するプラグインとして有名なものであり、2020年7月時点で80万件以上のインストール実績があります。そして無償で使用することができます。

All in One WP Security & Firewallの豊富な機能と設定方法は、この記事で紹介していきますが、主な機能には以下のものがあります。
・.htaccessやwp-config.phpなどの重要ファイルのバックアップとリストア機能
・不正ログインの防止機能
・Wordpressの重要ディレクトリや重要ファイルのアクセス制限
・ファイヤーウォール機能
・ブルートフォースログイン攻撃の回避機能
・Wordpressのシステムファイルの書き換え監視機能
・スパムコメント回避機能
・自分のWordpressのセキュリティを点数化して可視化
・各種設定をBasic(基本)、Intermidiate(中間)、Advance(先進)にランク付け

WordPressのセキュリティを強化するプラグインには、今回ご紹介するAll in One WP Security & Firewall以外のプラグインもあるのですが、このAll in One WP Security & Firewallは多機能なのに設定が分かりやすいので、とてもおすすめできるプラグインだと思います。

では、以下でAll in One WP Security & Firewallの各設定方法を見ていきましょう。

Dashboard

All in One WP Security & Firewallでは、セキュリティの各設定項目にポイントが割り振られており、設定した項目のポイントの合計をダッシュボードで確認することができます。他にもセキュリティに関するプラグインを導入していて機能が重複している場合や、自分のWordpressの動作に悪影響がある場合など、必ずしもAll in One WP Security & Firewallの全てのセキュリティ設定を使用する必要はありませんが、このポイントを一つの目安として設定すると良いと思います。

またダッシュボード上では、主要なセキュリティ機能のON・OFFの切り替えや、ユーザーのログイン状況なども確認することができます。

Settings – General Settings

Settingsの最初にGeneral Settingsのタブがありますが、ここでは特段設定する項目はありません。

Settings – .htaccess File

「.htaccess」は、Webサーバーの動作をディレクトリ単位で制御するためのファイルで、外部からのアクセス制限など様々な設定を行うことができます。All in One WP Security & FirewallがWordpressにセキュリティ設定を行う際に、この「.htaccess」ファイルに設定を書き込むこともありますので、セキュリティ設定を行う際は、ここで「.htaccess」ファイルのバックアップを取っておき、設定後に不具合が生じたらリストアすることができます。

Settings – wp-config.php File

「wp-config.php」は、Wordpressの中でも最重要なファイルの1つのため、設定変更をする際には予めバックアップを作成しておいた方がよく、設定後に不具合が生じたらこの画面からリストアすることができます。

Settings – WP Version Info

WordPressは、ブログのページを出力する際に、メタ情報にバージョン情報を出力する仕様になっています。こまめにWordpressをアップデートしていれば大きな問題はありませんが、バージョン情報を外部に出力するのはセキュリティ上は良くないため、この機能をONにすることでメタ情報へのバージョン情報の出力を止めることができます。

User Accounts – WP Username

WordPressをインストールする際に管理者のアカウントとパスワードを入力するのですが、ここで管理者=「admin」としてアカウントを作成する人が多いことから外部からの攻撃者が「admin」として不正ログインを行ってくることも多いです。ここでは管理者のアカウント名を確認して「admin」でなければ特に設定する必要はありません。「admin」で作成していた場合は、改めて管理者アカウントを作成し直し、不正ログインを減らすため「admin」アカウントは削除しておきましょう。

User Accounts – Display Name

WordPressで投稿やコメントをすると投稿者名が表示されるようになっています。この投稿者名はデフォルトではアカウントのIDになっていますが、IDが不必要に画面に表示されるのはセキュリティ上は良くないので、アカウントにはニックネームが設定しましょう。

User Accounts – Password

この画面は、アカウントに設定したパスワードの強度を調べる画面になります。パスワードはなるべく長く、そして英字の大文字・小文字、数字、記号等を織り交ぜて複雑なパスワードを作成するようにしましょう。

User Login – Login Lockdown

不正ログインを防止する機能です。ブルートフォースログインと呼ばれる繰り返しパスワードを変えながら不正なログインを試みる攻撃に対して、短時間に繰り返しログインを失敗したIPアドレスを自動的にブロックする設定を行います。

Enable Login Lockdown Featureこの機能を使用する場合はチェックします。
Allow Unlock Requestsロックアウトされたユーザーがロック解除のリクエストをできるようにする場合はチェックします。
Max Login Attempts設定した回数以上にログインを失敗した場合にロックアウトします。上記例では3回を超えるとロックアウトします。
Login Retry Time Period (min)ログイン失敗回数をカウントする時間を設定します。上記例では5分以内に3回を超えるとロックアウトします。
Time Length of Lockout (min)ロックアウトする時間を設定します。上記例では60分間となります。
Display Generic Error Messageログイン失敗時に何を間違っているのか(IDなのかパスワードなのかなど)を表示せず、一般的なエラーメッセージを表示します。
Instantly Lockout Invalid UsernamesWordPressに登録していないユーザー名でログインを試行した場合に即座にロックアウトします。
Notify By Emailロックアウトが発生した場合に指定したアドレスにメールを送信します。

User Login – Force Logout

指定した時間を超えてWordpressの管理画面にログインしているユーザーを強制的にログアウトさせる機能です。

User Registration – Manual Approval

自分のWebサイトでユーザーが自分のアカウントを作成できる機能を使用している場合に、アカウントの作成を管理者が手動で承認するようにする機能です。スパムや不正なアカウント作成を防止することができます。

User Registration – Registration Captcha

ユーザーがアカウントを登録する画面に、簡単な算数の問題を表示させ、間違った回答をした場合は登録させないようにする機能です。算数の問題は数字と英語を織り交ぜて出題される仕組みになっています。

User Registration – Registration Honeypot

登録画面に非表示のフィールドを追加します。人には見えませんが、不正な登録をするプログラムはこの非表示のフィールドにも値を入力しようとするため、非表示のフィールドに値が入った状態で登録データが送信された場合に自動的に拒否することができます。この隠された非表示のフィールドのことを「ハニーポット」と呼んでいます。

後編に続きます・・・

All in One WP Security & Firewallは、幅広くセキュリティ対応を行うプラグインであるため、設定項目も結構多くなっています。そのため、いったんここまでを前編として、続きは後編で書きたいと思います。是非、後編もお読みください。

タイトルとURLをコピーしました