WordPressのセキュリティ対策プラグインAll In One WP Securityの設定と使い方

WordPressのセキュリティ対策プラグインAll In One WP Securityの設定と使い方です。

2013年はWordPressのセキュリティ関係で多くの事件がありましたが、2014年になったので、All In One WP Securityを使ってセキュリティ対策したので、設定と使い方を備忘録的にまとめておきます。

WordPressのセキュリティ対策プラグインは多くありますが、All In One WP Securityが機能が多く、評価も高かったので採用しました。

セキュリティ系プラグインはコアな部分を変更するケースがあるので、エラーを出されるとかなり面倒なのですが、All In One WP Securityは目立ったエラーもありませんでした。

セキュリティ対策プラグインAll In One WP Security の設定と使い方

プラグインから新規追加、もしくはファイルダウンロードしてプラグインフォルダにアップロードして普通にインストール→有効化します。

作業前には、かならずバックアップしてください・

こんな感じです。

現在WordPressの状況を閲覧できます。

全部キャプチャをとると大変なので、項目ごとに設定を記載します。

上部のタブ「WP Meta info」をクリック、「Remove WP Generator Meta Info:」をチェックする。これによって、表示ページにWordPressのバージョンを表示させなくさせます。

上部のタブ「Display Name」をクリック、WordPressのログインユーザ名とWordPressの表示ユーザ名が同じでないかチェックします。同じ場合は、WordPressのメニュー「ユーザ」→「ユーザ一覧」→「編集」を押して、ニックネームにログインユーザ名以外を記載し、「ブログ上の表示名」項目をニックネームにして保存します。「Display Name」項目の評価が5/5になればOKです。

「Enable Login Lockdown Feature」のチェックタブをクリックして、Login Lockdown機能を有効にし、保存します。その他、必要項目があれば設定しても良いかもです。デフォルトでは、5分間に3回のログインミスがあったら60分ログインできない設定になっています。

「Enable manual approval of new registrations」のチェックタブをクリックして有効化します。ユーザの新規作成を管理するのですが、普通のサイトであればあまり関係なさそうです。

「Generate New DB Table Prefix」のテキストエリアに適当な接頭詞(xyz_など)をつけて保存します。もともとWordPressのデータベースはwp_ではじまるテーブル名を使っていますが、セキュリティ向上のために接頭詞を変更します。

「Block Spambots From Posting Comments」にチェックして保存。botによるスパムコメントをブロックします。※設定後はコメントが投稿できるか要チェックです。

「Enable Automated File Change Detection Scan」にチェックして保存。ファイルの書き換えがあったかをチェックします。デフォルトで4週間ごと。

上記設定後のAll In One WP Securityのダッシュボードの状況。

左上のメーター項目がもともと40だったのが、155に上がっており、グリーンのエリアに移動しました。

詳細に設定するともっとセキュリティレベルを上げることはできますが、今回は基本的なセキュリティを中心に設定しました。

いろいろあるのですが、基本的にはWordPressのバージョンを最新に更新すること。WordPress3.8からはセキュリティの更新が自動になり、セキュリティレベルが上がりました。最低でもWordPress3.8にはアップデートしてください。

また、WordPressの設定ファイル「wp-config.php」のパーミッションを404、もしくは444にして書き換えできなくする、そして.htaccessファイルに

<files wp-config.php>
order allow,deny
deny from all
</files>

を追記してください。