ワードプレスログインページを変更!iThemes Securityセキュリティプラグイン。

 

どもども、たまにはプラグインの紹介記事も書かなくては・・

 

という事で、セキュリティプラグインを紹介します。

 

一応、ワードプレスセキュリティプラグインで検索したら、いろいろ出てきますよね。

SiteGuard WP Plugin
All In One WP Security & Firewall
Wordfence Security
iThemes Security
BulletProof Security

といろいろありますが、いろいろ使い勝手がいいなぁと思ったものを紹介します。

 

ぶっちゃけどれがいいんだよ。

という声が聞こえてきそうですが、まぁ、結論から言うとどれでもやってもらえればいいのですが、1つに絞るとしたら、今の所これはいいかもよ!?

 

というのがありますので、紹介します。

この記事の出だしでネタバレ気味ですけどね。

 

 

 

iThemes Securityはいい!

 

まず、何がいいというのは、インストールして、有効化するとざっくりといい感じにセキュリティ上げてくれます。

ざっくりとか言うなよって言われそうなので、ある程度細かく説明します。

 

まずは、iThemes Securityで、プラグインを検索したら、こういうの出てきますので、インストールします。

インストール方法は省略します。

 

もしかしたら、サムネイルの画像が違ったりするかもしれません。

インストールしたら、有効化してください。

 

 

セキュリティチェック

セキュリティチェックという項目の詳細を表示をクリックしましょう。

 

一部の機能と設定は、実行されているすべてのサイトに対しておすすめします。

 

このツールは、あなたのサイトがこれら推奨事項を満たしているかどうか確認を行います。

下のボタンをクリックすると、次のモジュールを有効化し構成されます:

禁止ユーザー

データベースのバックアップ

ローカルのブルートフォース保護

ネットワーク・ブルートフォース保護

強力なパスワード

WordPress の微調整

ってでますので、   secure site  というボタンをおして有効化しましょう

 

これで、ざっくりとセキュリティ上がりました!

ここまででも、結構セキュリティ上がったのですが、一応各項目の事もご覧ください。

 

グローバル設定

不正なログインとかをしてこようとしているユーザー向けにメッセージ出したりとか、許可するIPアドレスなどの設定ができます。

許可するIPアドレスは設定しておきましょう。

 

Notification Center(通知センター)

ここは、いわゆる通知に関してですね。

 

何か怪しい動きがありましたよー

という時に、メールアドレスを設定しておくと、通知してくれるってやつです。

また、日、週単位で、今回はこういう感じでしたー

 

というのを、定期的に通知してくれるように設定もできます。

データベースをバックアップというのもありますが、エックスサーバーを利用している場合は、定期的にサーバー側がバックアップ取ってくれるというのと、今回エックスサーバーがバックアップからの復元を無料で行ってくれるという事もあるので心配な人以外は不要かなとも思います。

 

管理者ユーザー

これについては、触りません。

まぁ、触ってもいいのですが、ワードプレスの設定や仕様などはサイトによって変わる事もあるので、スルーしてもいいと思います。

ユーザーIDなどに対するセキュリティは、ひとまず

 

function.phpに

 

add_filter( 'author_rewrite_rules', '__return_empty_array' );
function disable_author_archive() {
if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
wp_redirect( home_url( '/404.php' ) );
exit;
}
}
add_action('init', 'disable_author_archive');

と記載するだけでいいと思います。

全てのテーマでこれがそのまま機能するかは、テーマによりますが、cocoonでは子テーマのcocoon child のfunction.phpに追記でも効果でます。

 

禁止ユーザー

IPブラックリストなどを設定する所です。

 

デフォルトのブラックリスト

という所にチェックを入れておきましょう。

これだけでも、ある程度の抑制にはなります。

 

コンテンツディレクトリの変更

この設定は、触りません。

何かあっても、取り戻しできなくなる恐れがあります。

とくにいろいろカスタムしている人は影響でる可能性もあるので・・

 

データベーステーブルのプレフィックス(接頭辞)の変更

ここは、わかる人は変えても悪くはないのですが、そもそも、データベースにまで入られてしまうというのは、

大丈夫だった時期のデータからやり直すレベルになるので、スルーでもいいと思います。

 

データベースのバックアップ

ここは、いくつか前の設定でも同様の事を言いましたが、お使いのサーバーなどにバックアップの機能があって、復元する事なども含めてサービスの内に入っているならあえてしなくてもいいかもしれません。

制作者や、依頼者、サーバーなどを考えてみて必要であれば設定するという事になります。

ただし、膨大なデータベースを運用している場合は、サイトの表示が遅くなったりなど負荷がかかるかもしれませんので、使用する方は、時間帯なども考慮して設定したほうがいいかもしれません。

 

ファイル変更の検出

これは、ワードプレスを構成するファイルが書き換えられたりした場合を想定して変更されてかどうかの監視をしてくれます。

 

ワードプレスを構成するファイルや、プラグインを構成するファイルというのはめちゃくちゃあります。

 

ワードプレスは、何らかの形で、ハッキングされてしまうと、

意図的に、外部とのやり取りをするために書き換えられたり、サーバー内に侵入して、独自のファイルを置かれたりしたりなどがあります。

そういった時に、ファイルの書き換えなどのがあった場合に、検出してくれる機能です。

 

これは、有効化しておいていいのですが、記事を書いたりするだけでも結構アラートメールがくるので、ちょっと、反応が良さ過ぎな感じはします。

あまり来ると、変更についてのメールが、オオカミ少年のように、またこれか。

 

となって、本当に悪意のある事に注意できない可能性はあります。

 

それでもちゃんとメール見るわという人は、有効化してください。

多分、もとに戻されるとは思いますが(笑)

 

ファイルのパーミッション

ファイルのパーミッションを一覧で見るという機能ですが、見るだけの機能なので、ひとまずスルーします。

本当は、ファイル事にパーミッションを変えたりして、セキュリティを上げる方が良いのですが、ワードプレスがインストールされているサーバーの環境や、設定、プラグインの仕様、サイトの仕様などは、サイトによって違うので、ここでは、省略します。

 

バックエンドの非表示

ここは、ログインページのURLを変えたりする設定です。

 

 

バックエンドの非表示にチェックを入れましょう。

 

ログインのスラッグには、通常のログインURLの代わりになるURLを入力しておきましょう。

※当然ですが、このプラグインがデフォルトとして最初から入力してあるスラッグは使わないでください。

 

 

ちなみに、これを忘れるとログインする場所が分からなくなりますのでご注意ください。

その際は、FTPからこのプラグインフォルダを一時的にリネームしてプラグイン機能をオフにして、通常のログインURLからログインして、FTPで、プラグインフォルダ名を元にもどして、それから管理画面を再読み込みして、プラグインを有効化し、再設定する事で回避できます。

ローカルのブルートフォース保護

最初のセキュリティ設定で、すでに有効化されていますので、そのままで大丈夫です。

無効化してあったら、有効化しておきましょう。

 

ネットワーク・ブルートフォース保護

最初のセキュリティ設定で、すでに有効化されていますので、そのままで大丈夫です。

無効化してあったら、有効化しておきましょう。

 

Password Requirements

次からユーザーを作るときにパスワードを激ムズじゃないと、ユーザーを作らせないよという設定です。

 

強制変更のプロセスが次回ログイン時に入ってもいい人は有効化してください。

 

これ、ログインするときに、このパスワードに変えてください。

という感じで強制されてしまうので、その時にパスワードをしっかりメモる事ができるならいいと思います。

※下手すると、そのままサクサクっとログインして、次ログインするときにアレ?っていう事になりかねないので。

 

 

 

 

WordPress のソルト(暗号化する際に付与されるデータ)

ここは、そこまで気を付ける必要少ないのでスルーでもいいかと思います。

 

WordPress の微調整

Windows Live Writer のヘッダー
 これはスルー

 

URI ヘッダーの編集
 これもスルー

説明にあるような外部との連携で必要な人はチェックを入れてください。そうでない人はスルーで大丈夫です。

 

コメントスパム
これに関しては、akisumet やジェットパックなどを導入している人も多いとは思いますが、念のためにチェックを入れておきましょう。

 

ファイルエディター

ファイルエディタを無効にするにチェックを入れておきましょう

 

XML-RPC

これに関しては、

WordPress の XML-RPC 機能は、外部サービスにアクセスし、サイト上のコンテンツを変更することができます。XML-RPC を利用するサービスの一般的な代表例として、Jetpack プラグイン、WordPress Mobile app、およびピングバックなどがあります。サイトで XML-RPC を必要とするサービスを使用していない限り、攻撃目的で XML-RPC 機能を悪用しサイトを攻撃してくる者を阻止する必要があるため 「XML-RPC を無効」を選択し、これを設定します。

とありますが、

エックスサーバーを利用している人は、有効のままで構いません。

 

エックスサーバーでは、jetpackは通過させるのに、他の利用については許可しないという設定が、管理画面にあります。

 

ここで、XML-RPC を無効を選択すると、jetpackも無効にしてしまう可能性があるのでエックスサーバーを利用している人は、基本的にスルー

 

ですが、他のサーバーは詳しくはつかっていないので、XML-RPC を無効がいいと思いますが、jetpackを利用している人はもしかしたら通信できなくなり、アクセス解析などが見れなくなる可能性もあります。

その際は、XML-RPC を無効を解除して下さい。

 

XML-RPCのそれ以外の項目はスルーで構いません。

 

iThemes Securityのまとめ

 

ひとまず、だだだーーーーーーーーーーーーーーっと、iThemes Securityの設定についてまとめてみました。

本当は設定したほうがいい事というのは、やりだしたらキリがありません。

セキュリティについては、ハッカーに集中的に狙われたら、回避する事はまず不可能です。

出なければ、グーグルやフェイスブックなどがハッキングされることもないはずです。

 

ですが、一般のサイトについては、弱いところで簡単に抜けるというサイトをハッカーは探し回って、楽には入れそうなときに、セオリー通りに、入れそうな弱い可能性が高いところを狙ってきます。

だからこそ、ひとまず狙われそうなところなどを、設定する。

その上で、どんなサイトでも影響は少ないであろう項目をメインに紹介しました。

 

ちなみに、出来れば、ワードプレスのバージョンは新しいほうがいいですし、プラグインもバージョンアップしたほうがいいです。

 

ただ、設定によってはサイトが崩れたりなどのあるので、保守運営費などを払うというのはそういった時に対処してもらうための費用だったりします。

 

この記事に書いてある事も、サイトの仕様やサーバーの仕様などによっては、通用しない、設定できない、設定したらおかしくなる可能性はゼロではないので、設定される場合は自己責任において試してください。