- 1 【Wordpress】All In One WP Security & Firewallを導入してみる
- 1.1 All In One WP Security & Firewallの設定方法
- 1.1.1 Dashboard(ダッシュボード)
- 1.1.2 Settings(設定)
- 1.1.3 User accounts(ユーザーアカウント)
- 1.1.4 User Login(ユーザーログイン)
- 1.1.5 User Registration(ユーザー登録)
- 1.1.6 Database Security(データベースのセキュリティ)
- 1.1.7 Filesystem Security(ファイルシステムセキュリティ)
- 1.1.8 Blacklist Manager(ブラックリスト管理)
- 1.1.9 Firewall(ファイアウォール)
- 1.1.10 Brute Force(ブルートフォースアタック対策)
- 1.1.11 SPAM Prevention(スパム防止)
- 1.1.12 Scanner(マルウェアスキャン)
- 1.1.13 Maintenance(メンテナンスモード)
- 1.1.14 Miscellaneous(その他)
- 1.2 さいごに
- 1.1 All In One WP Security & Firewallの設定方法
【Wordpress】All In One WP Security & Firewallを導入してみる
katsuです。
今回はWordpressのプラグイン「All In One WP Security & Firewall」の導入にチャレンジします!
なぜ突然このプラグインを入れることにしたかというと・・・ややこしいので時系列で説明しましょう。
①詐欺情報をまとめたページをサブドメインで作りたくなった
②初めてWordpressのマルチサイト化(サブドメインを使えるようにする)にチャレンジ!
③マルチサイト化設定まで進めたものの、これまで使ってきたプラグイン「SiteGuard WP Plugin」が使えない!
④SiteGuardに代わるプラグイン入れないとセキュリティが・・・ ←いまここ
こんな感じです。早い話が、SiteGuardというプラグインはマルチサイト化されたWordpressには使うことができないのです。公式ページにも明言されています。そこで、一番よさげかな、と感じた「All In One WP Security & Firewall」プラグインの導入を行うことにしました。
設定はすべて英語!見ただけではどうしたら良いのかわかりません。僕が調べに調べた設定方法を備忘録として残します。
All In One WP Security & Firewallの設定方法
まずは使えない「SiteGuard WP Plugin」を削除し、All In One WP Securityを導入します。新規プラグインから検索するとすぐに見つかります。
これです。
インストールして有効化するとメニューに設定が現れます。
かなり項目が多いですね・・・ここからの設定が大変そうです。今回は、僕が変更を行った項目を中心に説明していくことにしましょう。記載していない項目はデフォルトのままです。
Dashboard(ダッシュボード)
ダッシュボードでの設定は行いません。
ダッシュボードは現在のセキュリティ情報をある程度まとめて確認することができます。こちらのセキュリティーメジャーを見ると、プラグインによるセキュリティ度がどれくらいかをひと目で確認することができます。
Settings(設定)
WP Version Infoタブ
「Remove WP Generator Meta Info:」にチェックを入れ保存します。サイトのソースファイル内に含まれているWordpressのバージョン情報を隠すことができます。古いWordpressを使っていると攻撃の対象となる可能性がありますので、チェックを入れてバージョン情報を隠しておくほうが良いでしょう。
User accounts(ユーザーアカウント)
WP Usernameタブ
WordPress上のユーザーネームを設定できます。もしもデフォルトの「admin」のままだとすると脆弱性が非常に高くなっていると思われます。別の名前に変更しましょう。
Display Nameタブ
こちらも表示されるユーザー名を変更できます。「admin」であれば変更しましょう。
Passwordタブ
こちらは設定不要です。ですがパスワードの強固性を確認することができます。自分のパスワードを入力してみましょう。(登録するわけではありません)
パスワードを破るのに必要な時間が表示されるのでちょっと面白いですね。
User Login(ユーザーログイン)
Login Lockdownタブ
ユーザーログインにはいくつかタブがありますが、設定するのはこちらのLogin Lockdownタブだけです。「Enable Login Lockdown Feature:」にチェックを入れると、パスワードを何度か入力ミスするとロックがかかるようにできます。チェックを入れましょう!
デフォルトの設定はこんな感じです。
5分以内にログインする必要があり、3回ミスすると60分ロックされるという意味です。特に変更する必要は無いと感じますが、こだわりがあれば変更しましょう。
「Notify By Email:」にもチェックを入れ、下の枠にメールアドレスを登録します。ログインフェイル情報がメールで届くようになります。
「Enable Login Lockdown IP Whitelist:」にもチェックを入れます。ホワイトリストといい、何度ログインに失敗してもロックがかからないようにする設定です。自分を登録しておけば間違って締め出される恐れが無くなります。
「Enter Whitelisted IP Addresses:」には自分のIPアドレスを入力します。自分のIPは「Logged in Users」タブを開くと確認できますので、コピー&貼り付けしましょう。
User Registration(ユーザー登録)
WordPressで新規ユーザーアカウントの登録を許可している場合のセキュリティ設定です。僕は新規アカウントの追加を許可していませんので、設定は不要でした。
登録を許可している場合は3つのタブそれぞれにチェックを入れておきましょう。承認を必要にしたり計算式を追加することができ、セキュリティ度を上げることができます。
Database Security(データベースのセキュリティ)
設定不要です。サーバー上のデータベースをさわりにいく設定のため、触らないほうが良いでしょう。バックアップを自動的に残す機能もここにありますが、僕は別のプラグインを使っているため設定は行いません。
Filesystem Security(ファイルシステムセキュリティ)
設定不要です。サーバーのルートディレクトリにある設定ファイルを保護することができますが、このあたりのファイルはWordpressを触っていく上で自動的に更新されていくはずです。変にチェックを入れるとWordpress上で問題が発生する可能性がありますよね。
File Permissionsタブは全部が緑色になっていることを確認しておきましょう。ファイルの読み書き許可設定に問題が無いかを確認することができます。
Blacklist Manager(ブラックリスト管理)
設定不要です。今後このプラグインを使っていく中で、怪しげなIPアドレスからのアタックがあった場合等など、ブラックリストに登録することでそのユーザーの侵入をブロックすることができます。
Firewall(ファイアウォール)
Basic Firewall Rulesタブ
WordPressのファイアウォール設定を行うことができます。まずは「Basic Firewall Rules」タブの設定だけでもしておくべきでしょう。
「Enable Basic Firewall Protection:」にチェックで基本ファイアウォール機能をまとめてオン。
「Completely Block Access To XMLRPC:」にチェックでピンバックを全て完全ブロック。
「Block Access to debug.log File:」にチェックでサーバーのログファイルへのアクセスをブロック。
これでかなりセキュリティ度アップです。
Brute Force(ブルートフォースアタック対策)
Rename Login Pageタブ
「Enable Rename Login Page Feature:」にチェックを入れるとWordpressへのログインURLを自由に変更することができるようになります。恐らく最重要のセキュリティ設定です。「Login Page URL:」に好きな英数字を入れてログインページを変更しておきましょう。
Login Captchaタブ
ログイン画面に演算キャプチャが追加されます。自分がログインするときに簡単な計算をする必要があり面倒ですが、セキュリティ度は大きくアップするはずです。
SPAM Prevention(スパム防止)
comment SPAMタブ
コメント欄の投稿セキュリティ度を向上することができます。今のところコメント欄に困った問題は起きていないので、とりあえず「Block Spambots From Posting Comments:」のみチェックを入れました。これによってボットによる投稿をブロックすることができます。
「Enable Captcha On Comment Forms:」にチェックを入れるとコメント投稿に計算式が必要になり、更にセキュリティ度はアップしますがコメント投稿者の負荷になるため、今のところ設定はしていません。
Scanner(マルウェアスキャン)
File Change Detectionタブ
「Enable Automated File Change Detection Scan:」にチェックを入れると、サーバー上の重要なファイルに変更が入ったときに登録メルアド先に通知することができます。通知されたところでどう判断して良いかわからない可能性もありますが・・・とりあえずチェックです。
Maintenance(メンテナンスモード)
設定不要です。サイトのメンテを行うため、誰もサイトに入れたくないときにチェックします。通常は使うことは無いでしょう。
Miscellaneous(その他)
Users Enumerationタブ
「その他」項目にもいくつかタブがありますが、こちらのチェックだけは入れておいたほうがよさそうです。管理者情報を外部から閲覧されることを防ぐ機能です。
さいごに
以上がAll In One WP Security & Firewallプラグインのオススメ設定です!
表記していない項目については、初心者は特に設定する必要は無いと思います。いよいよこれでマルチサイトへの第一歩を踏み出しました。
WordPress用セキュリティプラグインとしてかなり優れていると思います。ぜひ設定にチャレンジしてみてください!
活ノートでは最新記事の投稿情報をメールでお伝えしています。お気軽にご登録ください!
配信例はこちらにあります。
