【WordPress】「All In One WP Security & Firewall」のプラグインを使ってサイトのセキュリティ対策を強化する方法

今回は、「All In One WP Security & Firewallのプラグインを使ってサイトのセキュリティ対策を強化する方法」について解説していきます。

2021年12月現在、WordPressは世界の全WEBサイトの43.1%のシェアを誇っています。

それだけ有名なCMS(コンテンツマネジメントシステム)なので、他者からの攻撃の対象になりやすいです。

だからこそ、WordPressを使う際はセキュリティ対策が重要になります。

All In One WP Security & Firewallのプラグインを使用することで簡単にWordPressのセキュリティ対策をすることが出来るので、今回の記事を参考にしながら是非導入してみてください。

「All In One WP Security & Firewall」とは?

All In One WP Security & Firewallとは、WordPressで用意されている無料のプラグインです。

このプラグインをインストールすることで、細かいセキュリティについて簡単に設定することが出来ます。

後ほど解説しますが、All In One WP Security & Firewallではざっと以下のようなセキュリティ対策をすることが可能です。

・ログインURLの変更

・データベースの接頭辞の変更

・悪意のあるコメントの防止

それではAll In One WP Security & Firewallのプラグインを使ってWordPressのセキュリティ対策を強化する方法について、特に重要な部分に絞って解説していきます。

※プラグインのインストールが完了した前提で話を進めていきます。

ダッシュボード

ダッシュボードでは以下の情報などを知ることが出来ます。

・サイトのセキュリティ強度

・セキュリティポイントの内訳

・重要な機能のステータス

・直近のログイン概要

・メンテナンスモードのステータス

All In One WP Security & Firewallで設定したセキュリティの概要を知ることが出来るのです。

設定

設定では、基本的なセキュリティについての設定をすることが出来ます。

WP バージョン情報

WordPressでは通常公開されているソースコードに、WordPressのどのバージョンが使用されているのか?といった情報が記載されています。

もし古いバージョンを使っていると、脆弱性を狙って攻撃される可能性が出てきます。

そうならないために、WordPressのバージョン情報が公開されないようにしましょう。

設定は簡単で、「WPセキュリティ>設定>WP バージョン情報」にログインします。

そして、「WP Generator メタ情報の削除」にチェックを入れて保存したら完了。

これでソースコードを見てもWordPressのバージョンに関する情報が表示されなくなります。

ユーザーアカウント

ユーザーアカウントでは、ユーザー名に関する設定をすることが出来ます。

WP ユーザー名

「WPセキュリティ>ユーザーアカウント>WP ユーザー名」

ユーザーアカウントでは、WordPressのアカウントログイン名や管理者ユーザー名を変更することが出来ます。

ユーザー名がデフォルトの「admin」ではなく違うユーザー名を使っていたらそのままでOKです。

ユーザーログイン

ユーザーログインでは、ログインに関する設定をすることが出来ます。

ログイン制限を設定する

「WPセキュリティ>ユーザーログイン>ログイン制限」にアクセスします。

設定しておきたい項目は以下になります。

・ログインロックダウン機能を有効化→チェックを入れる

・最大ログイン試行回数→デフォルトのままでも好みの数字でもOK

・ログイン再試行時間(分)→デフォルトのままでも好みの数字でもOK

・ロックアウト時間の長さ(分) →デフォルトのままでも好みの数字でもOK

・ただちにロックアウトする無効なユーザー名→チェックを入れる

・メールで通知→チェックを入れる

他者から不正ログインされないように設定しておきたい項目です。

強制的にログアウトする

一定期間が経ったら、強制的にログアウトさせる機能です。

「WPセキュリティ>ユーザーログイン>強制的にログイン」へアクセスします。

そして、「ユーザーの強制ログアウトを有効化」にチェックを入れて、その下の項目でログアウトする時間を設定します。

今回は600分(10時間)にしましたが、こちらの数字は自由に設定してOKです。

データベースセキュリティ

データベースに関するセキュリティ対策をすることが出来ます。

データベースの接頭辞を変更する

データベースの接頭辞とは、データベースを識別するための文字列のことです。

接頭辞を他者に特定されないように、予め変更しましょう。

「WPセキュリティ>データベースセキュリティ>データベースの接頭辞」にアクセスします。

そして、「新規 DB テーブル接頭辞を生成」にチェックを入れ、変更後の接頭辞を記入して保存したら完了です。

ファイルシステムセキュリティ

ファイルシステムセキュリティは、WordPressのファイルに関するセキュリティを設定することが出来ます。

PHP ファイル編集

WordPressのPHPファイルを管理画面から編集できないように設定します。

「WPセキュリティ>ファイルシステムセキュリティ>PHP ファイル編集」にアクセスします。

そして「PHP ファイル編集機能を無効化」にチェックを入れて保存します。

これでPHPファイルを管理画面から編集することが出来なくなりました。

ファイアウォール

インターネットに侵入してくる不正アクセスから守るファイアウォールの設定をすることが出来ます。

基本のファイアウォール規則

「WPセキュリティ>ファイアーウォール>基本のファイアウォール規則」にアクセスします。

そして以下の項目にチェックを入れましょう。

・基本的なファイアウォール保護を有効化

・XML-RPCへのアクセスを完全にブロック
(XML-RPCとは、管理画面にログインせずに遠隔で操作することが出来る仕組みです。)

これでファイアウォールの設定が完了しました。

総当たり攻撃

総当たり攻撃では、ログインURLを変更出来たりログインページやパスワード再設定フォームでCAPTCHAを設定することが出来ます。

ログインページの名称を変更

セキュリティ対策をしていないWordPressだと、URLの末尾に「/wp-admin」と追加してエンターキーを押すと、ログインページが表示されてしまいます。

これはセキュリティ的に良くないので、ログインURLをデフォルトから変更しましょう。

「WPセキュリティ>総当たり攻撃>ログインページの名称を変更」にアクセスします。

「ログインページの名前変更機能を有効化」にチェックし、ログインURLに好きな文字列を入れて保存してください。

これでログインURLが変更されました。

この際に変更したログインURLをブックマークかメモに残しておきましょう。

そうしないと自分自身がログイン出来なくなるので、注意してください。

ログイン Captcha

ログインフォームやパスワード再設定フォームにCaptchaを設定することが出来ます。

Captchaとは、ボットでないか判断するためのシステムです。

「WPセキュリティ>総当たり攻撃>ログイン Captcha」にアクセスします。

そして以下の項目にチェックを入れましょう。

これでログインページとパスワード再設定フォームでCaptchaが表示されるようになりました。

スパム防止

スパム防止では、悪意あるコメントスパムを防止する設定が出来ます。

コメントスパム

「WPセキュリティ>スパム防止>コメントスパム」にアクセスします。

そして、「コメントフォームのCaptchaを有効化」にチェックを入れます。

これでコメントスパムの設定が完了しました。

まとめ

以上が、「All In One WP Security & Firewallのプラグインを使ってサイトのセキュリティ対策を強化する方法」でした。

まだWordPressのセキュリティ対策をしてない場合は、こちらのプラグインを是非導入してみてください。

この記事を書いた人
Yujiro WEBコーダー

大阪のWEB制作会社で働くコーダー。コーディングにハマり、気づいたらWEB制作を仕事にしていました。現在は新規のWEBサイト制作やWordPressカスタマイズしたり、当技術ブログを運営しています。

関連記事