★活ノートシリーズ月間100,000ページビュー達成! 今後も楽しい記事をお届けします!★

【Wordpress】All In One WP Security & Firewallを導入してみる

 

katsuです。

 

今回はWordpressのプラグインAll In One WP Security & Firewallの導入にチャレンジします!

 

なぜ突然このプラグインを入れることにしたかというと・・・ややこしいので時系列で説明しましょう。

 

①詐欺情報をまとめたページをサブドメインで作りたくなった

②初めてWordpressのマルチサイト化(サブドメインを使えるようにする)にチャレンジ!

③マルチサイト化設定まで進めたものの、これまで使ってきたプラグインSiteGuard WP Pluginが使えない!

④SiteGuardに代わるプラグイン入れないとセキュリティが・・・ ←いまここ

 

こんな感じです。早い話が、SiteGuardというプラグインはマルチサイト化されたWordpressには使うことができないのです。公式ページにも明言されています。そこで、一番よさげかな、と感じた「All In One WP Security & Firewall」プラグインの導入を行うことにしました。

 

設定はすべて英語!見ただけではどうしたら良いのかわかりません。僕が調べに調べた設定方法を備忘録として残します。


 

All In One WP Security & Firewallの設定方法

セキュリティ

 

まずは使えない「SiteGuard WP Plugin」を削除し、All In One WP Security導入します。新規プラグインから検索するとすぐに見つかります。

 

これです。

 

コメント 2019-12-20 074657

 

インストールして有効化するとメニューに設定が現れます。

 

コメント 2019-12-20 074816

 

かなり項目が多いですね・・・ここからの設定が大変そうです。今回は、僕が変更を行った項目を中心に説明していくことにしましょう。記載していない項目はデフォルトのままです。

 

Dashboard(ダッシュボード)

ダッシュボードでの設定は行いません。

 

ダッシュボードは現在のセキュリティ情報をある程度まとめて確認することができます。こちらのセキュリティーメジャーを見ると、プラグインによるセキュリティ度がどれくらいかをひと目で確認することができます。

コメント 2019-12-20 075729

 

Settings(設定)

WP Version Infoタブ

Remove WP Generator Meta Info:」にチェックを入れ保存します。サイトのソースファイル内に含まれているWordpressのバージョン情報を隠すことができます。古いWordpressを使っていると攻撃の対象となる可能性がありますので、チェックを入れてバージョン情報を隠しておくほうが良いでしょう。

 

User accounts(ユーザーアカウント)

WP Usernameタブ

WordPress上のユーザーネームを設定できます。もしもデフォルトの「admin」のままだとすると脆弱性が非常に高くなっていると思われます。別の名前に変更しましょう。

 

Display Nameタブ

こちらも表示されるユーザー名を変更できます。「admin」であれば変更しましょう。

 

Passwordタブ

こちらは設定不要です。ですがパスワードの強固性を確認することができます。自分のパスワードを入力してみましょう。(登録するわけではありません)

コメント 2019-12-20 205137

パスワードを破るのに必要な時間が表示されるのでちょっと面白いですね。

 

User Login(ユーザーログイン)

Login Lockdownタブ

ユーザーログインにはいくつかタブがありますが、設定するのはこちらのLogin Lockdownタブだけです。「Enable Login Lockdown Feature:」にチェックを入れると、パスワードを何度か入力ミスするとロックがかかるようにできます。チェックを入れましょう!

 

デフォルトの設定はこんな感じです。

コメント 2019-12-20 205951

 

5分以内にログインする必要があり、3回ミスすると60分ロックされるという意味です。特に変更する必要は無いと感じますが、こだわりがあれば変更しましょう。

 

Notify By Email:」にもチェックを入れ、下の枠にメールアドレスを登録します。ログインフェイル情報がメールで届くようになります。

 

Enable Login Lockdown IP Whitelist:」にもチェックを入れます。ホワイトリストといい、何度ログインに失敗してもロックがかからないようにする設定です。自分を登録しておけば間違って締め出される恐れが無くなります。

 

Enter Whitelisted IP Addresses:」には自分のIPアドレスを入力します。自分のIPは「Logged in Users」タブを開くと確認できますので、コピー&貼り付けしましょう。

 

User Registration(ユーザー登録)

WordPressで新規ユーザーアカウントの登録を許可している場合のセキュリティ設定です。僕は新規アカウントの追加を許可していませんので、設定は不要でした。

 

登録を許可している場合は3つのタブそれぞれにチェックを入れておきましょう。承認を必要にしたり計算式を追加することができ、セキュリティ度を上げることができます。

 

Database Security(データベースのセキュリティ)

設定不要です。サーバー上のデータベースをさわりにいく設定のため、触らないほうが良いでしょう。バックアップを自動的に残す機能もここにありますが、僕は別のプラグインを使っているため設定は行いません。

 

Filesystem Security(ファイルシステムセキュリティ)

設定不要です。サーバーのルートディレクトリにある設定ファイルを保護することができますが、このあたりのファイルはWordpressを触っていく上で自動的に更新されていくはずです。変にチェックを入れるとWordpress上で問題が発生する可能性がありますよね。

 

File Permissionsタブは全部が緑色になっていることを確認しておきましょう。ファイルの読み書き許可設定に問題が無いかを確認することができます。

 

Blacklist Manager(ブラックリスト管理)

設定不要です。今後このプラグインを使っていく中で、怪しげなIPアドレスからのアタックがあった場合等など、ブラックリストに登録することでそのユーザーの侵入をブロックすることができます。

 

Firewall(ファイアウォール)

Basic Firewall Rulesタブ

WordPressのファイアウォール設定を行うことができます。まずは「Basic Firewall Rules」タブの設定だけでもしておくべきでしょう。

 

Enable Basic Firewall Protection:」にチェックで基本ファイアウォール機能をまとめてオン。

Completely Block Access To XMLRPC:」にチェックでピンバックを全て完全ブロック。

Block Access to debug.log File:」にチェックでサーバーのログファイルへのアクセスをブロック。

 

これでかなりセキュリティ度アップです。

 

Brute Force(ブルートフォースアタック対策)

Rename Login Pageタブ

Enable Rename Login Page Feature:」にチェックを入れるとWordpressへのログインURLを自由に変更することができるようになります。恐らく最重要のセキュリティ設定です。「Login Page URL:」に好きな英数字を入れてログインページを変更しておきましょう。

 

Login Captchaタブ

ログイン画面に演算キャプチャが追加されます。自分がログインするときに簡単な計算をする必要があり面倒ですが、セキュリティ度は大きくアップするはずです。

 

SPAM Prevention(スパム防止)

comment SPAMタブ

コメント欄の投稿セキュリティ度を向上することができます。今のところコメント欄に困った問題は起きていないので、とりあえず「Block Spambots From Posting Comments:」のみチェックを入れました。これによってボットによる投稿をブロックすることができます。

 

Enable Captcha On Comment Forms:」にチェックを入れるとコメント投稿に計算式が必要になり、更にセキュリティ度はアップしますがコメント投稿者の負荷になるため、今のところ設定はしていません。

 

Scanner(マルウェアスキャン)

File Change Detectionタブ

Enable Automated File Change Detection Scan:」にチェックを入れると、サーバー上の重要なファイルに変更が入ったときに登録メルアド先に通知することができます。通知されたところでどう判断して良いかわからない可能性もありますが・・・とりあえずチェックです。

 

Maintenance(メンテナンスモード)

設定不要です。サイトのメンテを行うため、誰もサイトに入れたくないときにチェックします。通常は使うことは無いでしょう。

 

Miscellaneous(その他)

Users Enumerationタブ

その他」項目にもいくつかタブがありますが、こちらのチェックだけは入れておいたほうがよさそうです。管理者情報を外部から閲覧されることを防ぐ機能です。


さいごに

セキュリティ

 

以上がAll In One WP Security & Firewallプラグインのオススメ設定です!

 

表記していない項目については、初心者は特に設定する必要は無いと思います。いよいよこれでマルチサイトへの第一歩を踏み出しました。

 

WordPress用セキュリティプラグインとしてかなり優れていると思います。ぜひ設定にチャレンジしてみてください!

 

 

活ノートでは最新記事の投稿情報をメールでお伝えしています。お気軽にご登録ください!


 

配信例はこちらにあります。

いいやん!
↑1いいやん!されています。良い記事でしたら「いいやん!」クリックお願いします。

下のSNSボタンから記事拡散にもご協力お願い致します。
読み込み中...

記事はいかがでしたか?
今後もぜひ応援をお願い致します!

<スポンサーリンク>


最新情報をチェックしよう!
>活ノートでつながる。

活ノートでつながる。

記事にはお気軽にコメントをどうぞ!
ご意見、ご質問、記事の執筆依頼などなどお待ちしております。

ブログ『活ノート』シリーズ
・活ノート
・詐欺情報をまとめるブログ。by活ノート

ブログランキングに参加中です。
順位の確認はこちらです。
人気ブログランキングブログランキング・にほんブログ村へFC2ブログランキング