1.All In One WP Securityとは不正アクセス・改ざん対策プラグイン
WordPressを使うとまず悩むのが「セキュリティ」。
オープンソースのため自由に使える反面、不正アクセスされやすい欠点があります。
一方でセキュリティ対策はサーバー、PHPコード、プラグインなど様々ありますが、一番効果的なのがプラグインです。中でもAll In One WP Securityは、総当り攻撃からマルウェア対策まで幅広く対応しています。
ECや会員サイトでは、Google検索からの不正アクセスだけでなく、不正な会員登録、購入時のマルウェアなど、セキュリティ対策をすべき所が沢山あります。
こういった時、All In One WP Securityは一括で対策できるので、非常に有効です。
2.All In One WP Security3つの機能
All In One WP Securityは多くの機能がありますが、主に3つに分けられます。
①ログイン・会員登録スパム防止
ログインや登録ページにGoogle reCaptcha、ハニーポットなどを追加し、外部からのスパムをブロックします。
また、ログインページのURLを変更して、不正アクセスを防止します。
②ファイル保護
外部からアクセスされやすいファイルやフォルダーを見つけ、アクセス制限を行うことで改ざん防止をします。
③コメントスパム防止
コメントフォームにCaptchaを追加し、コメントスパムを防止します。
3.価格、プラグイン容量
気になるのが「お値段」。セキュリティにかけるお金はできるだけ避けたいところです。
ところがなんと、All In One WP Securityは「無料」。さらに多機能なのでオトクです。
しかも、プラグイン容量も約1MBと、他のプラグインと比べて随分と軽くなっています。
WordPressではプラグインで容量が重くなり、いつの間にかサイトスピードが遅くなることが多くあります。
しかし、All In One WP Securityなら容量が軽いので、サイトの負担を減らすことができます。
4.プラグインのインストール
まずは、プラグインのインストールを行います。
管理画面の左メニューから「プラグイン>新規追加」を選択
プラグインの検索ボックスに「All In One WP Security & Firewall」を入力
「今すぐインストール」を選択し、ダウンロードが終了したら「有効化」を選択
プラグインがこのように表示されれば完了です。Settingsを選択して設定しましょう。
5.おすすめの設定方法
All In One WP Securityは設定項目が多いので、最初は戸惑います。その上、下手に行うとサイトが壊れることがあります。そこで、おすすめの設定を3選紹介します。
・WPユーザー名変更
WordPressでは、デフォルトで管理者ユーザー名が “admin” になっています。
このままだと、”admin” で不正ログインする「総当り攻撃(ブルートフォース攻撃)」を受けてしまうため、名前を変更します。
①「WPセキュリティ>ユーザーアカウント」を選択
②WPユーザー名タブを選択
③管理者ユーザー名の変更の「新規管理ユーザー名」で新しいユーザー名を入力
④「ユーザー名の変更」を選択すると、管理者ユーザー名が変更されています。
※下記はTwenty Twenty-Oneテーマの場合です
・ログイン制限
総当り攻撃は、クラッカーがパスワードを推測できるまでログインを繰り返し行う方法です。
このため、繰り返しログインを失敗したIP アドレスをブロックする必要があります。
①「WPセキュリティ>ユーザーログイン」を選択
②ログイン制限タブを選択
③「ログインのロックダウン設定」で以下を設定します。
✔ ログインロックダウン機能を有効化: チェックします。
ログイン制限が有効化されます。
✔ ロック解除リクエストを許可: チェックします。
ログインがロックされた場合、ユーザーにロック解除するリンクがメールで送られます。
正規のユーザーが間違ってロックされたときの対策として設定します。
✔最大ログイン試行回数: 10回に設定
繰り返しログインできる回数を設定します。ログイン回数が最大に達するとロックされます。
※回数が少ないと管理者もログインできなくなることがあります。
✔ ログイン再試行時間 (分): 5分に設定
ログイン試行回数が最大に達し、ロックされるまでの時間を設定します。
※ロックさえできれば十分なので、短めに設定します。
✔ロックアウト時間の長さ (分): 60分に設定
ロックが解除されるまでの時間を設定します。
※短すぎると、再度総当り攻撃を受ける可能性があるので、長めに設定します。
✔一般的なエラーメッセージを表示: 必要に応じてチェックします。
ログインに失敗した時のメッセージが変わります。
✔ただちにロックアウトする無効なユーザー名: チェックします。
サイトに登録されてないユーザーがログインした場合、すべてロックされます。
✔特定のユーザー名を即座にロックする: 必要に応じて入力します。
サイトに登録されてない特定のユーザーをロックします。
✔メールで通知: チェックし、メールアドレスを入力します。
誰かがロックされたとき、管理者にメールが送られます。セキュリティ管理として利用しましょう。
・データベースセキュリティ
WordPressデータベースは、デフォルトで接頭辞が”wp_” となっているため、攻撃に晒されるリスクがあります。
そこで、クラッカーに推測されにくい文字列に変更します。
①「WPセキュリティ>データーベースセキュリティ」を選択
②データベース接頭辞タブを選択
③新規 DB テーブル接頭辞を生成: チェックします。
④”DB接頭辞変更タスクが完了しました” が表示されれば変更完了です。
6,まとめ
クラッカーはWordPressのセキュリティの穴を通じて、あらゆる所から攻撃を仕掛けてきます。しかし、All In One WP Securityは、セキュリティに詳しくなくてもしっかりと対策することができます。
ぜひとも、All In One WP Securityを使いこなして、安全にWordPressを利用しましょう。
