WordPressのセキュリティ対策プラグイン3選【2019年】-プラグインなしの方法も紹介
サーバへのインストール型WordPressをご利用の皆様、WordPressのセキュリティ対策はしていますか?私は今のところ被害はないのですが、今更ですが今日対策しました。今回は初心者でも簡単にできる、プラグインを利用したWordPressのセキュリティ対策と、プラグインを使用しないセキュリティ対策の基本、また中級者以上向けの、サーバ等の設定を紹介します。
WordPressのセキュリティ対策 – プラグイン
SiteGuard WP Plugin
多機能なので、箇条書きで紹介します。
- ログインページのURLを変更できる
- ログイン時に画像認証機能を追加できる
- 設定した回数を失敗すると発動するログインロック機能を実装できる
- ログインがあるとメールで通知される機能を設定可能
- ログイン履歴を一覧で確認できる
All In One WP Security & Firewall
多機能なので箇条書きで紹介します。「SiteGuard WP Plugin」と機能がかぶっている部分がありますので、かぶっている機能はどちらか一方のみを有効にしてください。
- データベース、.htaccess、wp-config.phpファイルのバックアップを取る
- WordPressのバージョンをソースファイルから隠す
- プラグインの設定情報のインポートとエクスポート
- 設定した回数を失敗すると発動するログインロック機能を実装できる
- 新規アカウントの追加の制限
- WordPressインストールに含まれる初期ファイルのアクセス制限
- ブラックリスト管理
- ファイヤーウォール
- ブルートフォースアタックへの対策
- スパムコメント対策
- マルウェアのスキャン
- メンテナンスモード
Edit Author slug
デフォルト状態のWordPressで構築されたサイトのURLの末尾に「/?author=1」を追加するとユーザー名を含むURLが表示されるそうです。テーマ「DIVER」を使用しているおかげか、私は確認できませんでしたが。「Edit Author slug」は簡単な設定のみで、ユーザー名を漏洩しない仕様に変更可能です。
WordPressのセキュリティ対策 – プラグイン以外
WordPressやプラグインのバージョンを常に最新にしておく
脆弱性が発見された場合、WordPressはその都度バージョンアップをして対策をしています。最新バージョンは既知の脆弱性がなくなっています。常に最新版にしておきましょう。プラグインも同様です。最終更新日が古いプラグインは別の新しいプラグインへの変更も視野に入れたほうがいいでしょう。
使用していないプラグインは削除する
現在使わなくなっているプラグインは、「停止」にするだけではなく、完全に「削除」するようにしましょう。
ユーザ名とパスワードは安全なものにしておく
なるべく他人に推測されにくいもの、かつ複雑なものに変更しましょう。パスワードは8文字以上にしましょう。
wp-config.phpに外部からアクセスできないようにする
中級者以上向けです。
「wp-config.php」と同じ階層の「.htaccess」ファイルに、以下を記述してください。
<files wp-config.php>
order allow,deny
deny from all
</files>また、「wp-config.php」のパーミッションは「400」にしておきましょう。
万が一被害に遭った時のために
復元するために、日ごろからまめにバックアップを取っておきましょう。バックアップを取っておきたいものは以下のとおりです。
- WordPressのフォルダ・ファイル一式
- WordPressで利用しているデータベース
- WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」
関連記事
参考記事
https://design-plus1.com/tcd-w/2019/07/siteguard.html
https://design-plus1.com/tcd-w/2019/08/edit-author-slug.html
https://design-plus1.com/tcd-w/2015/09/security.html
https://pc-pier.com/blog/2018/10/16/all-in-one-wp-security/