ワードプレスセキュリティ強化 無料プラグイン All In One WP Security

ワードプレスのセキュリティを強化するプラグインは数多くありますが、そのうちのひとつに「All In One WP Security & Firewall」があります。さくらのレンタルサーバーでWordPress（ワードプレス）のクイックインストールを行うと、標準でいくつかのプラグインがインストールされますが、そのうちのひとつでもあります。今回はその設定と機能について解説します。

ワードプレスのダッシュボードから「プラグイン」＞「新規追加」を選びます。検索窓に「All In One WP」と入力して検索し、インストールします。※さくらのレンタルサーバーの場合は最初からインストールまではされています。

「有効化」をクリックし有効化するとワードプレスのダッシュボードに「WP Security」が設置されます。

下記でおすすめ設定を項目ごとに記載しておきます。各画像の通りに設定しましょう。

ワードプレスは作成時にサイトの各ページの “head”タグの中に自動でメタタグとしてサイトが現在どのバージョンのWordPressを実行しているかを示します。またはスタイルやスクリプトのロード中などにバージョン情報を表示します。それらによりハッカーやクローラがあなたのサイトをスキャンして古いバージョンのWordPressかどうかを調べることができます。下記を設定することによりその情報を隠すことができます。

「WP Security＞Settings＞WP Version Info＞WP Generator Meta Info」から下記にチェックを入れ「Save Settings」をクリックします。

不正なユーザーによるログインを防ぐために、下記設定によりログインロック機能を設定できます。
「WP Security＞User Login＞Login Lockdown」の各設定を行い「Save Settings」をクリックします。

• Enable Login Lockdown Feature：
  　ロックダウン機能の有効化
• Allow Unlock Requests：
  　ロックを解除するリンクを生成できるようにする
• Max Login Attempts：
  　ロックがかかるまでのログイン試行回数
• Login Retry Time Period (min)：
  　設定した時間内でのログイン試行に対してカウントされる
• Time Length of Lockout (min)：
  　ロックされる時間を設定する（標準60分）
• Display Generic Error Message：
  　一般的なエラーメッセージを返すかどうか
• Instantly Lockout Invalid Usernames：
  　登録されていないユーザー名だとロックする
• Instantly Lockout Specific Usernames：
  　右の枠に設定したユーザー名でのログインを禁止する
• Notify By Email：
  　ログインロックがかかると登録したメールに通知する

上記の設定にしておくと、パスワード等を５分以内に６回間違うと60分間ログイン禁止。登録されていないユーザー名を入力するとログイン禁止。adminだとログイン禁止。 誰かがログイン禁止になるとメールが送られる。という防御策を実現できます。

長時間ログインしているユーザーを強制的にログアウトさせる設定ができます。下記だと600分（10時間）を超えてログインしているとログアウトになります。
「WP Security＞User Login＞Force Logout」の各設定を行い「Save Settings」をクリックします。

また、User Loginではほかに、

• Failed Login Records：ログイン失敗履歴
• Account Activity Logs：アカウントログ
• Logged In Users：現ログインユーザー

のログが確認できます。定期的に確認して身に覚えがないログインがあれば不正なユーザーにログインされている可能性があります。

ワードプレスで標準インストールされている使わないファイルへのアクセスを禁止する。
「WP Security＞Filesystem Security＞WP File Access」の「Prevent Access to WP Default Install Files」をチェックし「Save Settings」をクリックします。

基本的なファイアウォール機能を設定します。
「WP Security＞Firewall＞Basic Firewall Rules＞Basic Firewall Settings」の「Enable Basic Firewall Protection」をチェックし「Save Basic Firewall Settings」をクリックします。

ワードプレスには「xmlrpc.php」という外部からワードプレスを制御するためのプログラムが含まれています。DoS攻撃の対象となることも多くあります。この画面でその攻撃を防ぐことが可能です。JetPackなど外部からの制御を行うプラグインを使っている場合は上の設定を入れると動きがおかしくなります。下の 「WP Security＞Firewall＞Basic Firewall Rules＞Basic Firewall Settings」の「Disable Pingback Functionality From XMLRPC」を設定しましょう。

「WP Security＞Firewall＞Additional Firewall Protection」の各機能をチェックし「Save Basic Firewall Settings」をクリックします。 各機能の詳細は下記の各項目をご覧ください。

ディレクトリのインデックス表示を禁止します。標準ではindex.htmlがない場合インデックス表示となるのを禁止します。

サーバーのトレース＆トラック機能を無効化します。サイトを動かしていて特に問題なければ設定しましょう。

プロキシを介したコメントを禁止します。不正なユーザーはプロキシサーバーを介しての操作なことも多いため、それによるコメントを禁止します。

クロスサイトスクリプティング（XSS）を利用した不適切なクエリ操作を拒否します。

さらに高度な文字列フィルター機能を有効にします。

ブルートフォース攻撃の防止から、各ログインページへのキャプチャ（数字入力によるスパム防止機能） の設置を行います。

ワードプレスでネットショップを起ち上げる 「Woocommerce」のフォームにキャプチャを設置します。

パスワードを忘れたとき用のフォームにキャプチャを設置します。

コメントフォームにキャプチャ（数字入力によるスパム防止機能）を付けます。
「WP Security＞SPAM Prevention＞Comment SPAM」の「Add Captcha To Comments Form」の設定を行い「Save Settings」をクリックします。