All In One WP Security で WordPress セキュリティ強化の設定

WordPress のセキュリティ対策では、セキュリティプラグイン All In One WP Security の導入をお勧めしています。
インストールしただけの WordPress では様々な攻撃に晒されるからです。

All In One WP Security プラグインは、名前の通り様々な攻撃から防御してくれます。さくらレンタルサーバーにも最初からインストールされている信頼性があるプラグインです。

この記事では、All In One WP Security の重要な設定をご紹介します。

ログインパスの変更

WP Security > Brute Force からログイン URL を変更しましょう。
ログイン URL を Login Page URL: から変更します。

例えば、「◯◯login」のようにサイト運用者しかわからないパスに変更しましょう。

【解説】 パス変更はログイン攻撃対策

WordPress では初期城自体ではログインパスが、http://example.com/wp-login.php のようになっている場合が多いです。

攻撃者はこのようなよくあるログインパスを狙って攻撃をしてきます。
ログインパスを wp-login.php から変更することにより、攻撃を回避することが可能となります。

ログイン時間の設定

WP Security > User Login かログインしている時間の長さを変更できます。

Time Length of Lockout (min): という項目を変更します。
初期状態では、60分になっていますが、ある程度まとまった時間ログインできるように、私は 7200 など長めに設定しています。

【解説】 ログイン時間変更

ログイン時間は短いほど安全と考えられいるはずです。
確かに、もしセッション ID などが漏洩した時に、セッションがすぐ切れた方がログインされにくいです。

しかし、そもそもですがセッションが漏洩するような段階まで攻撃されてしまうのは元々のセキュリティ設定に問題があると考えられますから、ログイン時間の長さ云々の問題ではないと考えています。

ですので、ログイン時間についてはある程度作業しやすい長さにしておいと良いでしょう。

URL からユーザー名漏洩を防止

WP Security > Miscellaneous > Users Enumeration > Disable Users Enumeration のチェックを有効にします。

WordPress はURLに /?author=1 などと入力されると、ユーザー名が漏洩する恐れがあります。

攻撃者にとって役立つヒントを与えないためのユーザー名漏洩防止措置です。