以前、ワードプレスのセキュリティ対策として、初心者でも簡単に行える基本的なセキュリティ対策について解説しました。
ただ、これらの対策だけでは安心できない方もいることでしょう。上の記事に書かれていること以外にも、上級者向けの対策などもあり、ワードプレスのセキュリティ対策はとても奥が深いのです。
その中にセキュリティ対策として、プラグインを使用する方法があります。
ワードプレスのセキュリティ対策プラグインは多数あり、どれを使えばいいか迷うことも多いと思います。
ということで、中でも人気、評価が高い「iThemes Security」というプラグインがオススメです。今回は、このプラグインについて解説します。
※初心者の方には、多少難しいかもしれません。まずは上記の初心者向けセキュリティ対策だけ行ってください。
使い方
※プラグインの導入方法はこちら
導入が完了すると、管理画面の左メニューに「セキュリティ」の項目が増えます。ここをクリックして、iThemes Securityの設定画面に移りましょう。
この画面が、iThemes Securityの設定画面です。ここから様々な機能を使用することができます。
たくさんの機能がありますが、今回は改めて設定して欲しい部分だけ解説します。それ以外はデフォルトのままで大丈夫です。
セキュリティチェック
まずは、現在のサイトの状態を確認してみましょう。「セキュリティチェック」項目の「更正の設定」をクリックします。
次に表示される「セキュリティチェック」の「Secure Site」をクリックしてください。
このように各項目の結果が表示されます。緑のチェックが付いている項目は大丈夫ということです。
それ以外の項目に注目して、青いボタンを押してみましょう。緑のチェックに変わるはずです。これでサイトのセキュリティチェックは完了しました。
「閉じる」をクリックして、元の画面に戻りましょう。
グローバル設定
続いて「グローバル設定」項目の「更正の設定」をクリックして設定画面を開いてください。
「ファイルへの書き込み」項目では、プラグインがwp-config.phpと.htaccessの編集をできるようにするかどうかの設定ができます。
初心者向けのセキュリティ対策解説でも述べましたが、この2つのファイルはとても重要です。外部から編集されてしまうと大きな被害を受けます。
自分で編集することもできますが、不安であればプラグインに一任するのもいいでしょう。その場合は、チェックを入れておきます。
「通知メール」「バックアップの配信メール」の項目は、iThemes Securityから報告を受け取るためのメールアドレスの入力欄です。デフォルトでは、エックスサーバーの自動インストールで入力したメールアドレスが入力されています。必要があれば変更してください。
「ブラックリスト解除までの期間」は、ロックアウトされたユーザーを何日間記録しておくかの設定です。1つ上の「ブラックリストのしきい値」で設定している回数を、この項目で設定した日数以内に達するとブラックリスト入りになります。
期間が終了すればロックアウト回数の制限がリセットされるので、なるべく長い期間を設けた方がいいでしょう。ここは「15」に設定してください。
「ロックアウトのホワイトリスト」は上記の設定に対して例外を設けたい場合に使用する欄です。たとえ管理者でもログインに何回も失敗すると、ロックアウトされてしまいます。
もし心配であれば、自身のIPアドレスを入力しておきましょう。
以上で「グローバル設定」は完了です。「変更を保存」をクリックします。
404の検出
404とは、存在しないページにアクセスしようとしたときに起こる、いわゆるPage Not Foundのことです(例外もあり)。
404エラーが大量発生しているときは、不正アクセスの可能性もあります。大量の404エラーを検知するのがこの項目です。「有効」をクリックしておきましょう。
細かい設定はデフォルトのままでOKです。
退席中モード
ワードプレスを使用している人の中には、特定の時間帯だけ作業をする方も多いと思います。それ以外の時間帯を編集不可にすることで、不正行為を防ぐモードがこちらです。
利用する場合は、「詳細を見る」→「有効」をクリックして、作業開始時間と終了時間を設定して「設定を保存」をクリックしてください。
作業時間が決まっていない方、複数人で運営している場合など作業の時間帯がバラバラな方は無理に設定をする必要はありません。設定に誤りがあると管理者でも締め出されてしまうので、本当に必要な場合だけ設定してください。
禁止ユーザー
「更正の設定」をクリックして、「HackRepair.com のブラックリスト機能を有効」にチェックを入れてください。
HackRepair.comが保有しているブラックリストの禁止ユーザーをブロックすることができます。
「禁止ホスト」「ユーザーエージェントの禁止」の項目は、新たに不正をしていると思しきホスト、ユーザーエージェントを見つけたら追加できる欄です。見つけ次第、追加してください。
ローカルのブルートフォース保護
「更正の設定」をクリックして設定画面を開きます。
「ホスト単位での最大ログイン試行回数」は、一定時間内に同一ホストのログイン試行回数の許容数を設定できます。回数が低いほどセキュリティ強度が上がりますが、管理者もログインに失敗すると同様にロックアウトされてしまうので、ある程度余裕を持った数字を入れましょう。
推奨は「3」回です。
「ユーザー単位での最大ログイン試行回数」は1つ上の設定と似ていますが、こちらはユーザー単位の設定です。同様に回数が低ければより安全ですが、余裕を持って「5」回くらいが推奨です。
最後に「自動的に “admin” ユーザーを禁止」にチェックを入れてください。「admin」とは、ワードプレスをインストールしたときにデフォルトで設定されている管理用ユーザー名です。
不正アクセスするユーザーはまずこの「admin」で不正アクセスを試みるということから、チェックを入れておけばある程度は即刻ブロックできるようになります。
残りはデフォルトでOKです。「変更を保存」をクリックしてください。
データベースのバックアップ
ワードプレスのバックアップは、リストアまで一括で出来るプラグインなどこれよりも便利なものがあるので、iThemes Securityでバックアップまで取る必要はないでしょう。
「無効化」で大丈夫です。
※バックアップとリストア(復元)はこちら
ファイル変更の検出
ファイルに何かしたの編集や変更が施され場合に検知してくれる機能です。外部から攻撃されたときにいち早く気づくことができます。「有効」をクリックしてください。
続いて「構成の設定」をクリックして、設定画面を開きます。
「分割ファイルのスキャン」は、
- pluguins
- themes
- wp-admin
- wp-includes
- uploads
- wp-content(上記5点以外)
- その他
の7点に分けてスキャンする機能です。分割されることでスキャンの速度が上がります。
通知も複数に分けられることもあり面倒もありますが、ここはチェックを入れておきましょう。
システムの微調整
この機能は、さらにシステムを強固にすることができます。「有効」をクリックしてください。
WordPress の微調整
「構成の設定」をクリックしたら、
- Windows Live Writer のヘッダー
- URI ヘッダーの編集
- コメントスパム
- ログインエラーメッセージ
- ユニークなニックネームを強制
- 追加ユーザーのアーカイブを無効
の項目にチェックを入れましょう。それ以外はデフォルトのままにしてください。
必要な変更は異常となります。
まとめ
長くなってしまいましたが、いかがでしたでしょうか?セキュリティ対策にはこれだけの項目があるわけですね。
これで、あとはプラグインが働いてくれるようになりました。ただ注意点もあり、不正行為をする者の中にはこのプラグインの惰弱性を突こうとする人間もいるということを念頭におく必要があります。
その度にプラグインのアップデートも行われるので、ワードプレス本体だけでなく、iThemes Securityを含めた各プラグインもアップデートするように心がけてください。
