wordpressのセキュリティ&スパム対策

2017年10月14日

※事情により画像が消えています。ご了承ください。

今回はwordpressのセキュリティ&スパム対策プラグインを紹介&解説をしたいと思います。

注意:今回紹介するのは当サイトで導入しているプラグインのみです。

プラグインの導入は自己責任で!
プラグインを導入してサイトが見れなくなった、ログインできないなどの不具合は当サイトにお問い合わせされましても、責任はとれません。自己責任での導入をお願いします。

セキュリティ対策

All In One WP Security

このプラグイン1つでWordPressのセキュリティを行うことができます。(操作画面が英語なので操作するときは注意!)

行えることはたくさんありますが主にこんな感じです。

  • ipアドレスでのブロック(ログイン画面やコメント欄)
  • 簡単な計算での認証(ログイン画面、ユーザー新規登録画面、コメント欄)
  • 自分のアカウントの安全性
  • 簡易ファイヤーウォール
  • ファイルパーミッション(権限)の確認
  • ログインロックダウン(何分以内に何回ログインに失敗したipアドレスを何分ブロックする)

など・・・

めっちゃあります。

必ず、覚えておいてほしいのが不具合が出ることがあるのでバックアップを取ることです。

プラグインページ

スパム対策

Akismet

これはほとんどのWordPressユーザーが知っているであろう超有名スパム対策プラグインですね。

APIキーを取得する必要がありますが、そのあとは放っておくだけでスパムにサヨナラできます。

まだ、導入していない方は導入することをお勧めします。

プラグインページ

Throws SPAM Away

こちらは日本語が含まれていないコメントは無視するプラグインです。

設定画面が日本語なのでとても使いやすいです。

コメントで日本語しか扱わないサイトは導入することをお勧めします。

また、Akismetと組み合わせて使うとさらに強力になりますよ。

プラグインページ

番外(画像認証について)

当ブログのコメント欄にあるこれ↓

この画像認証はテーマ(Luxeritas)についてくる画像認証です。

皆さんもぜひ使ってみてください!←宣伝

各プラグインのインストールと設定方法

最初にも書きましたが、プラグインの導入は自己責任でお願いします。

当サイトはプラグインでサイトが見れなくなったり、ログインできなくなったりしても責任は負いません

All In One WP Security

インストール方法

WordPressの管理画面のサイドバーからプラグイン→新規追加をクリック

「All In One WP Security」と入力して検索!(Enterキー)

一番上に出てくるAll In One WP Security & Firewallをインストール&有効化してください。

各設定の解説

すると、サイドバーに以下のようなメニューが追加されていると思います。

これが設定画面へのリンクです。

クリックすると設定画面に飛びます。

では、各画面の説明をしていきます。

  • Dashboard

この画面ではどれだけセキュリティの設定ができているか、点数で表してくれます。

また、ログも表示させることができます。

  • Settings

この画面ではグローバルな設定と各ファイルのバックアップができます。

設定は特にいじる必要がありませんが、バックアップは必ずしてください。

バックアップするファイルは.htaccessとwp-config.phpです。

バックアップするには各ファイルのタブを開いて

BackUp .htaccess FileやBackUp wp-config.php Fileのボタンを押してください。

  • User Accounts

管理者ユーザーアカウントのチェックができます。

WP Usernameのタブでは管理者のユーザーネームにadminが使われていないかチェックできます。

なぜadminのユーザー名を使用してはいけないの?

実はWordPressのアカウント乗っ取りをしようとするハッカーはadminのユーザー名をよく使います。なのでユーザー名はadminを使わないようにするのが大事です。

Display Nameのタブでは適切なニックネームが設定されているか確認できます。

ニックネームがユーザー名と同じだとアカウントが乗っ取られる可能性が高まるからです。

Passwordのタブではパスワードの安全性を確認できます。

  • User Login

ここで設定を推奨するのはLogin Lockdownです。(他のタブは設定しなくて構いません。)

※Login Lockdownは指定した時間に指定した回数ログインに失敗するとipからのログインを数分間ブロックする機能です。

簡単に翻訳するので自分で設定してみてください。

Enable Login Lockdown Feature: Login Lockdown機能を有効にする
Allow Unlock Requests: ロックされた場合にロックを解除するボタンを表示する。
Max Login Attempts: 指定回数ログインに失敗したときにロックする
Login Retry Time Period (min): 指定分内にMax Login Attemptsの回数ログインに失敗したときにロックする。
Time Length of Lockout (min): ロックする時間(分)
Display Generic Error Message: 一般的なエラーメッセージを表示する?
Instantly Lockout Invalid Usernames: 使われていないユーザー名を入力したら即ロックする。
Instantly Lockout Specific Usernames: このリストに入力されたユーザー名が使用されたら即ロックする。
Notify By Email: ロックされたipアドレスがあったときにメールアドレスに通知
  • User Registration

これは当ブログでは使用していないので解説しません。

たぶん、ユーザー登録関係の設定だと思います。

  • Database Security

データーベースのセキュリティとバックアップができます。

  • Filesystem Security

WordPressの各フォルダのパーミッション(権限)の確認と推奨値が確認できます。

他のタブではWordPressの重要なファイルへのアクセスを制限したりすることができます。

  • WHOIS Lookup

WHOIS情報が検索できます。

以上

  • Blacklist Manager

ブラックリストの管理ができます。

ブラックリストはipアドレスとユーザーエージェントで作成できます。

  • Firewall

「Enable Basic Firewall Protection:」にチェックを入れる

あとは設定しなくて構いません。

  • Brute Force
Rename Login Page ログインページの変更ができます。ログインページを狙うロボットに有効です。
Cookie Based Brute Force Prevention 不明
Login Captcha ログインページ、パスワードリセットページにCaptcha(計算認証)を表示するかの設定ができます。
Login Whitelist ログインするときに指定したip以外からのログインを禁止します。
Honeypot ログインページに人間には見えない入力欄を追加してその入力欄に入力するとログインできないようにします。
  • SPAM Prevention

Comment SPAMはコメント欄にCaptchaを表示させるか、スパムbotからの投稿をブロックする設定が行えます。

Comment SPAM IP Monitoringは不明です。

BuddyPressはおそらくBuddyPressプラグイン用の設定だと思います。

  • Scanner

ファイルが外部から不正に変更されていないかの確認ができます。

  • Maintenance

メンテナンスモード(WordPressのプラグインインストール時などの画面とは違います)にしたときの表示を設定します。

  • Miscellaneous

その他、いろいろな設定ができます。

右クリック禁止設定などです。

Akismet

ごめん。省略させてください。お願いします。何でもしませんから!

だって、どのブログでも紹介してるじゃん。あと普通に書くのめんどい。知りたい人はgoogleで「Akismet 導入方法」とかで調べてね。

Throws SPAM Away

こちらのプラグインは先ほどと同じようにプラグインをインストール&有効化します。

そうするとサイドバーに設定のリンクが追加されるのでそこから設定します。

すべて日本語で設定できるのでとても良いですね。

説明は以上です。

あとがき

たぶん、この紹介したプラグインを全部インストールして、しっかり設定すれば、セキュリティ&スパム対策は完璧?になると思う。

おしまい