一人で会社を立ち上げ、運営を一人でやっていく記録

一人社長の為さぬは人の為さぬなりけり

WordPress

All In One WP Security - WordPressを様々な攻撃から守るAll in Oneのセキュリティプラグイン

更新日:

typographyimages / Pixabay

WordPressは、世界でも圧倒的なシェアで利用されているCMSです。その分、攻撃する側からするとターゲットにしやすいという事があります。アクセス数が上がって目立ったサイトになったりすると、結構な攻撃を受ける可能性があります。そういった時に、自サイトを守る為にセキュリティを高めておかなければなりません。「All In One WP Security」は、セキュリティを高める為の機能が色々揃っています。では、設定をしていきましょう。

Dashboard

まずはダッシュボードです。

Dashboard

Security Strength Meter

名前の通りですね。メーターでセキュリティの強さを表しています。高ければ高いほど強いですが、とりあえずグリーンに入っているレベルであれば問題無いと思います。

Last 5 Logins

最新5回のログイン記録です。怪しいログインが無いかチェック出来ます。

Locked IP Addresses

ロックされたIPアドレスの記録です。

Security Point Breakdown

どんなセキュリティ対策が施されているか円グラフで表示されています。

Critical Feature Status

特に重要なセキュリティ項目のステータスです。OFFの項目はONになるようにしてください。

Spread the Word

SNSでの拡散のお願いです。よければツイートしてあげてください。

Get To Know The Developers

開発元の情報がわかります。

Logged In Users

ログインしたユーザー情報が表示されます。

System Info

システム情報が表示されます。

Lockes IP Addresses

ログインロックされたユーザーの情報の一覧が表示されます。

Permanent Block List

使ってないのでわかりませんが、おそらく永久ブロックされたユーザーのリストだと思われます。

AIOWPS Logs

ログファイルを見る事が出来ます。

Settings

ではセッテイングしていきます。

General Settings

WP Security Plugin

まずは、設定する前にバックアップを取る事を勧められます。それぞれボタン一つでバックアップが取れるのであらかじめバックアップを取っておいてください。

Disable Security Features

もし、このプラグインで問題が起こった場合は、すべてのセキュリティ設定をボタン一つでOFFに出来ます。

Disable All Firewall Rules

こちらも同様にFirewallのルールを全てOFFに出来ます。

Debug Setting

デバッグを有効にする事が出来ます。デバッグが終わったらチェックを外してください。

.htaccess File

.htaccessのバックアップ及びレストアが出来ます。

wp-config.php File

wp-config.phpファイルのバックアップ及びレストアが出来ます。

WP Version Info

サイト内のメタ情報などにバージョン情報が残っていると、それを見てバージョン毎の脆弱性が狙われる場合があります。この情報を削除してくれるので「Remove WP Generator Meta Info:」にチェックを入れて「Save Settings」をクリックしましょう。

Import/Export

プラグインのセッティングをインポート、エクスポート出来ます。複数サイトを同じセッティングにしたい場合に重宝します。

User Accounts

WP Username

WordPressの初期設定では、管理者のユーザー名がadminになっています。そのままだとadminを使ってブルート・フォース攻撃をされてしまうので、admin以外に変更してください。

Display Name

これも同様です。投稿やコメントに答えると、ニックネームが表示されますが、ニックネームはアカウントのログイン名になってます。これも推測されないように変更しましょう。

Password Tool

今設定されているパスワードの強さをはかる事が出来ます。あまりに弱いパスワードなら、変更しましょう。

User Login

Login Lockdown

ブルート・フォース攻撃対策の為にログイン試行回数を制限する必要があります。

Login Lockdown Options

  • Enable Login Lockdown Feature:ログインロックダウンを有効にします。まず、ここをチェック。
  • Allow Unlock Requests:アンロックリクエストを自動生成出来るようになります。特にチェックする必要は無いです。
  • Max Login Attemptsログイン試行回数の上限です。これを一定時間以内に超えるとロックされます。
  • Login Retry Time Period(min):ログイン試行回数の制限時間です。この時間内に試行回数を超えるとロックされます。単位は分です。
  • Time Length of Lockoutロックされる時間です。デフォルトでは60分になっています。
  • Display Generic Error Messageログインが失敗したときにエラーメッセージを出します。
  • Instantly Lockout Invalid Usernames:自分のシステムにないユーザーネームのログインを拒否します。通常はチェック無しでいいかと思います。
  • Instantly Lockout Specific Usernames:強制的にロックアウトしたいユーザーネームをリストに入れます。
  • Notify By Email:通知用のメールアドレスを設定します。

Login Lockdown IP Whitelist Settings

ログインロックダウンのホワイトリストを設定します。通常は特に使う必要はないかと思います。

Faile Login Records

ログインに失敗したユーザーのリストが表示されます。

Force Logout

管理画面のログイン時間制限をつける事が出来ます。有効にすると、制限時間になると強制的にログアウトされます。

Account Activity Logs

サイトにログインしたアカウントのアクティビティを見る事が出来ます。

Currently Logged In Users

現在ログイン中のユーザーを見る事が出来ます。強制的にログアウトさせる事も出来ます。

User Registration

Manual Approval

自サイトでアカウント作成する事が出来るようになっている場合は、管理者がアカウントを承認するまで一時保留する事が出来るようになります。

Registration Captcha

登録ページに、画像認証を追加する事が出来ます。一応チェックを入れておきます。

Registration Honeypot

ロボットにしか見えないハニーポットを追加します。これも一応チェックを入れておきます。

Datebase Security

DB Prefix

WordPressのデフォルトのTable Prefixはwp_になっていますが、そのままですと、データベースを狙う相手にわかりやすいです。なので、それを別の物に変更します。

「Generate New DB Table Prefix:」をチェックして「Change DB Prefix」をクリックしてください。

DB Backup

自動でデータベースのスケジュールバックアップを取ってくれます。私は別のプラグインを使っているので使ってません。

Filesystem Security

File Permissions

重要ファイルのパーミッションが適切かどうかを見る事が出来ます。

PHP File Editing

WordPressの管理画面からPHPファイルの編集を出来なくします。

WP File Access

readme.html、license.txt、wp-config-sample.phpにアクセス出来ないようにします。

Host System Logs

システムのエラーログを見る事が出来ます。

WHOIS Lookup

WHOISを使って、IP、ドメインの詳細情報を参照出来ます。

Blacklist Manager

特定のIPアドレスをブラックリストに入れてブロックする事が出来ます。

Firewall

Basic Firewall Rules

Basic Firewall Settings

とりあえず、これにチェックを入れればFirewallは作動します。

WordPress XMLRPC & Pingback Vulnerability Protection

XMLRPC関連の設定だとの事ですが、あまりよくわからないです。JetpackやiOSのWPアプリを使っている場合はチェックを入れてくれと書いてあります。

Block Access to Debug Log File

debug.logへのアクセスをブロックします。これもチェック。

Additional Firewall Rules

更に高度なルールを設定します。

6G Blacklist Firewall

Perishable Pressが制作した6G Firewallルールが適用されるそうです。

Internet Bots

Googlebotに偽装するbotをブロック出来ます。

Prevent Hotlinks

ホットリンクを防止します。

404Detection

404ページへのアクセスを監視します。短時間に404イベントが起こるようなら怪しいアクセスかもしれません。

Custom Rules

独自のFirewallのルールを追加できます。

Brute Force

Rename Login Page

ブルートフォース攻撃に対して有効なログインURLを変更します。「Enable Rename Login Page Feature:」にチェックを入れて、「Login Page URL:」を任意の文字を入れて「Save Setting」をクリックしてください。

Cookie Based Brute Force Prevention

ブルートフォース攻撃防止機能を有効にします。

Login Captcha

ログインページに画像認証を追加します。とりあえず、一番上だけ有効にしておきます。

Login IP Whitelist Settings

特定のIPアドレスのみログイン出来るようにします。

SPAM Prevention

スパムに関しては、Akismetを使っているのでここでは飛ばします。

Scanner

ファイルの変更をスキャンします。有料のマルウェアスキャンサービスの案内もあります。

かなり細かい設定が出来るので、自分に必要な設定をして使ってみてください。私は今の所不具合は出た事はありませんが、何があるかわかりませんので、導入前にはバックアップを取っておいた方がいいと思います。

-WordPress
-

Copyright© 一人社長の為さぬは人の為さぬなりけり , 2019 All Rights Reserved.