WordPressは、世界でも圧倒的なシェアで利用されているCMSです。その分、攻撃する側からするとターゲットにしやすいという事があります。アクセス数が上がって目立ったサイトになったりすると、結構な攻撃を受ける可能性があります。そういった時に、自サイトを守る為にセキュリティを高めておかなければなりません。「All In One WP Security」は、セキュリティを高める為の機能が色々揃っています。では、設定をしていきましょう。
Dashboard
まずはダッシュボードです。
Dashboard
Security Strength Meter
名前の通りですね。メーターでセキュリティの強さを表しています。高ければ高いほど強いですが、とりあえずグリーンに入っているレベルであれば問題無いと思います。
Last 5 Logins
最新5回のログイン記録です。怪しいログインが無いかチェック出来ます。
Locked IP Addresses
ロックされたIPアドレスの記録です。
Security Point Breakdown
どんなセキュリティ対策が施されているか円グラフで表示されています。
Critical Feature Status
特に重要なセキュリティ項目のステータスです。OFFの項目はONになるようにしてください。
Spread the Word
SNSでの拡散のお願いです。よければツイートしてあげてください。
Get To Know The Developers
開発元の情報がわかります。
Logged In Users
ログインしたユーザー情報が表示されます。
System Info
システム情報が表示されます。
Lockes IP Addresses
ログインロックされたユーザーの情報の一覧が表示されます。
Permanent Block List
使ってないのでわかりませんが、おそらく永久ブロックされたユーザーのリストだと思われます。
AIOWPS Logs
ログファイルを見る事が出来ます。
Settings
ではセッテイングしていきます。
General Settings
WP Security Plugin
まずは、設定する前にバックアップを取る事を勧められます。それぞれボタン一つでバックアップが取れるのであらかじめバックアップを取っておいてください。
Disable Security Features
もし、このプラグインで問題が起こった場合は、すべてのセキュリティ設定をボタン一つでOFFに出来ます。
Disable All Firewall Rules
こちらも同様にFirewallのルールを全てOFFに出来ます。
Debug Setting
デバッグを有効にする事が出来ます。デバッグが終わったらチェックを外してください。
.htaccess File
.htaccessのバックアップ及びレストアが出来ます。
wp-config.php File
wp-config.phpファイルのバックアップ及びレストアが出来ます。
WP Version Info
サイト内のメタ情報などにバージョン情報が残っていると、それを見てバージョン毎の脆弱性が狙われる場合があります。この情報を削除してくれるので「Remove WP Generator Meta Info:」にチェックを入れて「Save Settings」をクリックしましょう。
Import/Export
プラグインのセッティングをインポート、エクスポート出来ます。複数サイトを同じセッティングにしたい場合に重宝します。
User Accounts
WP Username
WordPressの初期設定では、管理者のユーザー名がadminになっています。そのままだとadminを使ってブルート・フォース攻撃をされてしまうので、admin以外に変更してください。
Display Name
これも同様です。投稿やコメントに答えると、ニックネームが表示されますが、ニックネームはアカウントのログイン名になってます。これも推測されないように変更しましょう。
Password Tool
今設定されているパスワードの強さをはかる事が出来ます。あまりに弱いパスワードなら、変更しましょう。
User Login
Login Lockdown
ブルート・フォース攻撃対策の為にログイン試行回数を制限する必要があります。
Login Lockdown Options
- Enable Login Lockdown Feature:ログインロックダウンを有効にします。まず、ここをチェック。
- Allow Unlock Requests:アンロックリクエストを自動生成出来るようになります。特にチェックする必要は無いです。
- Max Login Attemptsログイン試行回数の上限です。これを一定時間以内に超えるとロックされます。
- Login Retry Time Period(min):ログイン試行回数の制限時間です。この時間内に試行回数を超えるとロックされます。単位は分です。
- Time Length of Lockoutロックされる時間です。デフォルトでは60分になっています。
- Display Generic Error Messageログインが失敗したときにエラーメッセージを出します。
- Instantly Lockout Invalid Usernames:自分のシステムにないユーザーネームのログインを拒否します。通常はチェック無しでいいかと思います。
- Instantly Lockout Specific Usernames:強制的にロックアウトしたいユーザーネームをリストに入れます。
- Notify By Email:通知用のメールアドレスを設定します。
Login Lockdown IP Whitelist Settings
ログインロックダウンのホワイトリストを設定します。通常は特に使う必要はないかと思います。
Faile Login Records
ログインに失敗したユーザーのリストが表示されます。
Force Logout
管理画面のログイン時間制限をつける事が出来ます。有効にすると、制限時間になると強制的にログアウトされます。
Account Activity Logs
サイトにログインしたアカウントのアクティビティを見る事が出来ます。
Currently Logged In Users
現在ログイン中のユーザーを見る事が出来ます。強制的にログアウトさせる事も出来ます。
User Registration
Manual Approval
自サイトでアカウント作成する事が出来るようになっている場合は、管理者がアカウントを承認するまで一時保留する事が出来るようになります。
Registration Captcha
登録ページに、画像認証を追加する事が出来ます。一応チェックを入れておきます。
Registration Honeypot
ロボットにしか見えないハニーポットを追加します。これも一応チェックを入れておきます。
Datebase Security
DB Prefix
WordPressのデフォルトのTable Prefixはwp_になっていますが、そのままですと、データベースを狙う相手にわかりやすいです。なので、それを別の物に変更します。
「Generate New DB Table Prefix:」をチェックして「Change DB Prefix」をクリックしてください。
DB Backup
自動でデータベースのスケジュールバックアップを取ってくれます。私は別のプラグインを使っているので使ってません。
Filesystem Security
File Permissions
重要ファイルのパーミッションが適切かどうかを見る事が出来ます。
PHP File Editing
WordPressの管理画面からPHPファイルの編集を出来なくします。
WP File Access
readme.html、license.txt、wp-config-sample.phpにアクセス出来ないようにします。
Host System Logs
システムのエラーログを見る事が出来ます。
WHOIS Lookup
WHOISを使って、IP、ドメインの詳細情報を参照出来ます。
Blacklist Manager
特定のIPアドレスをブラックリストに入れてブロックする事が出来ます。
Firewall
Basic Firewall Rules
Basic Firewall Settings
とりあえず、これにチェックを入れればFirewallは作動します。
WordPress XMLRPC & Pingback Vulnerability Protection
XMLRPC関連の設定だとの事ですが、あまりよくわからないです。JetpackやiOSのWPアプリを使っている場合はチェックを入れてくれと書いてあります。
Block Access to Debug Log File
debug.logへのアクセスをブロックします。これもチェック。
Additional Firewall Rules
更に高度なルールを設定します。
6G Blacklist Firewall
Perishable Pressが制作した6G Firewallルールが適用されるそうです。
Internet Bots
Googlebotに偽装するbotをブロック出来ます。
Prevent Hotlinks
ホットリンクを防止します。
404Detection
404ページへのアクセスを監視します。短時間に404イベントが起こるようなら怪しいアクセスかもしれません。
Custom Rules
独自のFirewallのルールを追加できます。
Brute Force
Rename Login Page
ブルートフォース攻撃に対して有効なログインURLを変更します。「Enable Rename Login Page Feature:」にチェックを入れて、「Login Page URL:」を任意の文字を入れて「Save Setting」をクリックしてください。
Cookie Based Brute Force Prevention
ブルートフォース攻撃防止機能を有効にします。
Login Captcha
ログインページに画像認証を追加します。とりあえず、一番上だけ有効にしておきます。
Login IP Whitelist Settings
特定のIPアドレスのみログイン出来るようにします。
SPAM Prevention
スパムに関しては、Akismetを使っているのでここでは飛ばします。
Scanner
ファイルの変更をスキャンします。有料のマルウェアスキャンサービスの案内もあります。
かなり細かい設定が出来るので、自分に必要な設定をして使ってみてください。私は今の所不具合は出た事はありませんが、何があるかわかりませんので、導入前にはバックアップを取っておいた方がいいと思います。