WordPress

WordPressのセキュリティ対策プラグインAll In One WP Securityの設定と使い方

All In One WP Security

WordPressのセキュリティ対策プラグインAll In One WP Securityの設定と使い方です。

2013年はWordPressのセキュリティ関係で多くの事件がありましたが、2014年になったので、All In One WP Securityを使ってセキュリティ対策したので、設定と使い方を備忘録的にまとめておきます。

WordPressのセキュリティ対策プラグインは多くありますが、All In One WP Securityが機能が多く、評価も高かったので採用しました。

セキュリティ系プラグインはコアな部分を変更するケースがあるので、エラーを出されるとかなり面倒なのですが、All In One WP Securityは目立ったエラーもありませんでした。

セキュリティ対策プラグインAll In One WP Security の設定と使い方

プラグインから新規追加、もしくはファイルダウンロードしてプラグインフォルダにアップロードして普通にインストール→有効化します。

作業前には、かならずバックアップしてください・

All In One WP Securityのダッシュボード

こんな感じです。

All-In-One-WP-Securityのダッシュボード

現在WordPressの状況を閲覧できます。

All In One WP Securityの設定

全部キャプチャをとると大変なので、項目ごとに設定を記載します。

settings

  1. 上部のタブ「WP Meta info」をクリック、「Remove WP Generator Meta Info:」をチェックする。これによって、表示ページにWordPressのバージョンを表示させなくさせます。

User Accounts

  1. 上部のタブ「Display Name」をクリック、WordPressのログインユーザ名とWordPressの表示ユーザ名が同じでないかチェックします。同じ場合は、WordPressのメニュー「ユーザ」→「ユーザ一覧」→「編集」を押して、ニックネームにログインユーザ名以外を記載し、「ブログ上の表示名」項目をニックネームにして保存します。「Display Name」項目の評価が5/5になればOKです。

User Login

  1. 「Enable Login Lockdown Feature」のチェックタブをクリックして、Login Lockdown機能を有効にし、保存します。その他、必要項目があれば設定しても良いかもです。デフォルトでは、5分間に3回のログインミスがあったら60分ログインできない設定になっています。

User Registration

  1. 「Enable manual approval of new registrations」のチェックタブをクリックして有効化します。ユーザの新規作成を管理するのですが、普通のサイトであればあまり関係なさそうです。

Database Security

  1. 「Generate New DB Table Prefix」のテキストエリアに適当な接頭詞(xyz_など)をつけて保存します。もともとWordPressのデータベースはwp_ではじまるテーブル名を使っていますが、セキュリティ向上のために接頭詞を変更します。

FireWall

  1. 「Enable Basic Firewall Protection」、「Enable Pingback Protection」の両方にチェックして保存。

Spam Prevention

  1. 「Block Spambots From Posting Comments」にチェックして保存。botによるスパムコメントをブロックします。※設定後はコメントが投稿できるか要チェックです。

Scanner

  1. 「Enable Automated File Change Detection Scan」にチェックして保存。ファイルの書き換えがあったかをチェックします。デフォルトで4週間ごと。

上記設定後のAll In One WP Securityのダッシュボードの状況。

All-In-One-WP-Securityのダッシュボード1

左上のメーター項目がもともと40だったのが、155に上がっており、グリーンのエリアに移動しました。

詳細に設定するともっとセキュリティレベルを上げることはできますが、今回は基本的なセキュリティを中心に設定しました。

その他のセキュリティ対策

いろいろあるのですが、基本的にはWordPressのバージョンを最新に更新すること。WordPress3.8からはセキュリティの更新が自動になり、セキュリティレベルが上がりました。最低でもWordPress3.8にはアップデートしてください。

また、WordPressの設定ファイル「wp-config.php」のパーミッションを404、もしくは444にして書き換えできなくする、そして.htaccessファイルに

<files wp-config.php>
order allow,deny
deny from all
</files>

を追記してください。

コメント

  1. せっちゃん より:

    現在の情報と異なってるみたいです。
    バージョンがかなり前の情報みたいなので改善よろしくお願いします!

  2. debate より:

    せっちゃんさん

    最近バージョンアップがありましたが、そこまで大きくは変わっておらず、2014年1月時点の情報です。
    本記事は「All In One WP Security 」の情報ですが、「All in One SEO」などと勘違いされておりませんか?

コメントを残す