WordPressプラグインの「XO Security」なら、必要にして最大のセキュリティ対策がおこなえて便利です。他にも似たようなプラグインと比較して、XO Securityは設定が分かりやすくおすすめできるプラグインです。
ここではWordpressのプラグイン「XO Security」の設定例をご紹介します。ご自分の環境に合わせて読み替えてください。
設定例
ここでご紹介する設定は、あくまでも一例です。ご自分のサイトに合わせて、有効か無効か判断してください。
ログインのタブ
WordPressはログイン画面が誰でも同じURL(ドメイン名/wp-admin/index.php)なので、アクセスが誰でもできてしまいます。当然ながらIDとパスワードが分からなければログインはできません。それでも、ログイン画面にアクセスされるのは気持ちの良いものでもありませんし、万が一ログインされたら終わりです。
このアドレスを変えてくれる機能から有効にしていきます。
ログインページの変更をオンにし、新しいログインファイル名を決めれば、ボックス下に表示されているURLからログインすることができます。ブックマークを変更しておきましょう。以前のURLではログインできなくなります。
ログインの種類はメールアドレスは除外したユーザー名のみが望ましい。
ログインエラーメッセージは簡略化することでヒントを与えません。また、同じようにパスワードリセットリンクの機能と、サイトへ移動リンクも無効で機能させないようにします、親切にする機能は穴があるので省くというわけです。
CAPTCHAは、文字を入力させる機能です。これが日本語であれば、海外からの不正ログインアタックは減らせる要素の1つになります。
ログインアラートは複数人でログインしているなら必要でしょう。1人で運営していて、毎日何度もログインするなら、少し鬱陶しいのでオフにています。
ログイン言語制限
ここはFTPかWebFTPを使って制限を実施できます。この設定画面ではできません。
wordpressの構成ファイルであるwp-config.php内の下部に追記することで有効になります。記入する箇所は、コメントアウトされているので直ぐに見つかるでしょう。
/* カスタム値は、この行と「編集が必要なのはここまでです」の行の間に追加してください。 */
define( 'XO_SECURITY_LANGUAGE_WHITE_LIST', 'ja' );
/* 編集が必要なのはここまでです ! WordPress でのパブリッシングをお楽しみください。 */defineからをコピーして上書きすれば完了です。wp-config.phpの取り扱いについては各自で調べてください。
自信が無い人は別に設定しなくてもOKです。海外からのログインアタックに悩まされているのならオススメします。
コメントのタブ
WordPressでコメント機能を有効にしていないのなら、設定の必要はありません。
この設定では、コメントを投稿にする際、CAPTCHAの入力を促されます。ここを”ひらがな”を選ぶことで、日本語を読み書きできない海外の人の書き込みを抑制できます。
お好みでどうぞ。
XML-RPCのタブ
XML-RPCは、次のREST API同様に外部からWebシステムを制御する場合などで利用されるプロトコルです。
Webブラウザでログインして書き込んいるなら特に必要はありません。セキュリティの危険性が増すので無効化しておきたいところです。
外部アプリなどを使用して投稿したい場合、有効にしておかないと利用できません。ピンバックもスパムに利用されるので無効化しておきます。
REST APIのタブ
REST APIはXML-RPC同様に、外部からWordpressブログを制御している場合などで利用されます。
こちらはすべて無効化してしまうと利用に支障が出るので、最低限Usersの2箇所にチェックを入れて例外にします。
よく分からない場合は、有効化の状態にしておきましょう。
秘匿のタブ
公にしたくない情報を隠くす(秘匿)内容は、主にユーザー名とRSSです。
画像ではすべて秘匿させています。
特に投稿者スラッグは別に設定する形を取りしましょう。有効にすると、変更する箇所がWordpressメインメニューのユーザー→プロフィールにあります。
一番下の箇所に投稿者スラッグを入れるボックスが増えています。
本来は、ニックネームというのは設定しているでしょう。
プロフィールにあるユーザー名というのは変更できないユニークな文字列です。これがそのまま著者ページのURLになりますから、ログインユーザー名がバレてしまいます。
ですから、ユーザー名がログイン名なので、表示させるニックネームはここで設定します。
そして著者ページは同じ文字列を使わないよう更に変更させるのです。
例:
- ユーザー名 abe
- ニックネーム 阿部
- ブログ上の表示名 阿部
- 投稿者スラッグ(Nickname)abcdefg
そもそも著者ページは別に作ってリンクさせても良いので、Wordpressの機能としては無効にしてOKです。
環境のタブ
最後の環境のタブです。
設定するのは、ログの自動削除期間くらいでしょう。
削除しない、365日以前、30日以前が選べます。
ログも溜まっていきますので、30日より前は自動的に削除すれば気になりません。この辺はお好みでどうぞ。
IPアドレスの取得方法は、注意書きもあるように、通常は「自動」で構わないと思います。枠内にIPアドレスが表示されています。
WordPressのデフォルトの設定は避けたい
ご紹介したように、Wordpressのデフォルトの設定から、セキュリティに関する部分は変更しておいた方が無難です。世界中で使われているWordpressは、デフォルトの設定は皆が知っています。そこを突いてくるボットなどもありますから、面倒なことにならないよう、自分だけの設定に変更しておくと安心です。
「XO Security」を特におすすめするのは、Wordpressテーマ「[ad_tag id=”584″]」を使っている人です。テーマ作者がおすすめしているからということもあり、他のセキュリティ系プラグインより相性が良く助かります。
自分でイチから設定するのは骨が折れますが、こういったプラグインを使うことで比較的簡単に設定することが可能です。
これまでもこのプラグインだけで長い間複数のブログを運営してきました。脅威からは守られている実感があります。
最低限、こういったセキュリティ系を導入し、安心してブログを運営しましょう。
