All In One WP Security でセキュリティ強化の設定ポイントと解説

WordPress のセキュリティ対策では、セキュリティプラグイン All In One WP Security の導入をお勧めしています。

All In One WP Security は、名前の通り様々な攻撃から防御してくれるプラグインです。
有名なレンタルサーバーのさくらレンタルサーバーにも最初からインストールされているプラグインです。
信頼性があるプラグインと言えます。

そもそもセキュリティ対策は必要?

まず WordPress セキュリティ対策の重要性について述べます。

WordPress を利用する場合、必ずセキュリティ対策が必要です。
インストールしただけのデフォルトの WordPress は様々な攻撃に晒されるからです。

以降、All In One WP Security の重要な設定を誤消化します。

ログインパスの変更

WP Security > Brute Force からログイン URL を変更しましょう。
ログイン URL を Login Page URL: から変更します。

例えば、「◯◯login」のようにサイト運用者しかわからないパスに変更しましょう。

【解説】 パス変更はログイン攻撃対策

WordPress の初期状態ではログインパスが、https://example.com/wp-login.php のような URL のままが多いです。

攻撃者はこのようなよくあるログインパスを狙って攻撃をしてきます。
ログインパスを wp-login.php から変更することにより、攻撃を回避することが可能となります。

ログイン時間の設定

WP Security > User Login かログインしている時間の長さを変更できます。

Time Length of Lockout (min): という項目を変更します。
初期状態では、60分になっていますが、ある程度まとまった時間ログインできるように、私は 7200 など長めに設定しています。

【解説】 ログイン時間変更

ログイン時間は短いほど安全と考えられいるはずです。
確かに、もしセッション ID などが漏洩した時に、セッションがすぐ切れた方がログインされにくいです。

しかし、そもそもですがセッションが漏洩するような段階まで攻撃されてしまうのは元々のセキュリティ設定に問題があると考えられますから、ログイン時間の長さ云々の問題ではないと考えています。

ですので、ログイン時間についてはある程度作業しやすい長さにしておいと良いでしょう。

URL からユーザー名漏洩を防止

WP Security > Miscellaneous > Users Enumeration > Disable Users Enumeration のチェックを有効にします。

WordPress はURLに /?author=1 などと入力されると、ユーザー名が漏洩する恐れがあります。

攻撃者にとって役立つヒントを与えないためのユーザー名漏洩防止措置です。

セキュリティ設定ポイントと解説のまとめ

All In One WP Security の設定ポイントとその解説をご紹介しました。
WordPress のセキュリティというと難しそうなイメージがありますが、All In One WP Security の最低限のポイントを抑えておくだけでも構いません。

All In One WP Security を利用することで、WordPress をそのまま使用するよりもずっとセキュアにご利用いただけます。