WordPress のセキュリティ対策では、セキュリティプラグイン All In One WP Security の導入をお勧めしています。
All In One WP Security は、名前の通り様々な攻撃から防御してくれるプラグインです。
有名なレンタルサーバーのさくらレンタルサーバーにも最初からインストールされているプラグインです。
信頼性があるプラグインと言えます。
そもそもセキュリティ対策は必要?
まず WordPress セキュリティ対策の重要性について述べます。
WordPress を利用する場合、必ずセキュリティ対策が必要です。
インストールしただけのデフォルトの WordPress は様々な攻撃に晒されるからです。
以降、All In One WP Security の重要な設定をご紹介します。
ログインパスの変更
WP Security > Brute Force からログイン URL を変更しましょう。
ログイン URL を Login Page URL: から変更します。
例えば、「◯◯login」のようにサイト運用者しかわからないパスに変更しましょう。
【解説】 パス変更はログイン総当り攻撃対策
Brute Force という項目は、総当たり攻撃の対策項目のことです。
WordPress が初期状態のケースではログインパスが、https://example.com/wp-login.php という URL のままが多いです。
攻撃者はこのようなよくあるログインパスを狙って攻撃をしてきます。
ログインパスを wp-login.php から変更することにより、攻撃を回避することが可能となります。
ログイン時間の設定
WP Security > User Login かログインしている時間の長さを変更できます。
Time Length of Lockout (min): という項目を変更します。
初期状態では、60分になっていますが、ある程度まとまった時間ログインできるように、私は 7200 など長めに設定しています。
【解説】 ログイン時間変更
ログイン時間は短いほど安全と考えられいるはずです。
確かに、もしセッション ID などが漏洩した時に、セッションがすぐ切れた方がログインされにくいです。
しかし、そもそもですがセッションが漏洩するような段階まで攻撃されてしまうのは元々のセキュリティ設定に問題があると考えられますから、ログイン時間の長さ云々の問題ではないと考えています。
ですので、ログイン時間についてはある程度作業しやすい長さにしておいと良いでしょう。
URL からユーザー名漏洩を防止
WP Security > Miscellaneous > Users Enumeration > Disable Users Enumeration のチェックを有効にします。
【解説】 ユーザー名を隠す
Users Enumeration は直訳すれば、ユーザーの列挙です。
WordPress はURLに /?author=1 などと入力されると、ユーザー名が漏洩する恐れがあります。
Disable Users Enumeration の設定は、攻撃者にとって役立つヒントを与えないためのユーザー名漏洩防止ということになります。
セキュリティ設定ポイントと解説のまとめ
All In One WP Security の設定ポイントとその解説をご紹介しました。
WordPress のセキュリティというと難しそうなイメージがありますが、All In One WP Security の最低限のポイントを抑えておくだけでも構いません。
All In One WP Security を利用することで、WordPress をそのまま使用するよりもずっとセキュアにご利用いただけます。
CAMON.TOKYO の吉澤修です。
記事に関連したお困りごとやお仕事のご相談などはお問い合わせからご連絡ください。
