WordPress

WordPressのセキュリティプラグイン「iThemes Security」の初期設定を解説&おすすめ設定を紹介してみる

  /

はろー!鮎月(あゆつき) です!

今回は、個人的におすすめなWordPressのセキュリティプラグイン「iThemes Security」を紹介します。

WordPress.org 日本語
参考リンク
 
iThemes Security (formerly Better WP Security)
https://ja.wordpress.org/plugins/better-wp-security/
The Best WordPress Security Plugin to Secure & Protect WordPress
目次
  1. インストール
  2. 初期設定
  3. おすすめ設定
  4. まとめ

インストール

公式プラグインとして登録されているので、管理画面からインストールができます。

「iThemes Security」で検索し、「今すぐインストール」を押します。

しばらくしてインストールが終わると「有効化」ボタンに変わるので、有効化しましょう。

これだけでインストール完了です。

初期設定

管理画面のメニューの下の方に、「セキュリティ」という名前のメニューが表示されますので、それを押すと初期設定が始まります。

サイトタイプ

最初はウェブサイトの種類を選ぶように言われます。

ここではBlogを選択します。

何が変わるのかわからん

次に、だれのサイトか聞かれます。

俺のサイトだとプログラムにイキりつつ、ここではSELFを選びます。

次はパスワードポリシーの設定です。

強いパスワードをユーザーに強制するか選びます。

WordPressでは、パスワードを設定する際に強さの指標が出てきます。

このような弱いパスワードを設定できないようにする設定です。

ぶっちゃけ自分しか使わないならオフでもいいと思います。

機能設定

ログインセキュリティ

ログイン周りのセキュリティ設定です。

このままで良いと思います。

正直、私は2段階認証は別のプラグインを使っているため、iThemes Securityの設定は使っていません。

ちなみに使っているのはこれです

WordPress.org 日本語
参考リンク
2FAS Prime — Two Factor Authentication
https://ja.wordpress.org/plugins/2fas-light/
Free, simple and secure token-based authentication for your WordPress. No registration required.

ユーザーグループ

続いてはユーザーグループ設定です。

DEFAULTで良いです。

次の画面に進むと、WordPressの権限ごとに色々書き換えることができます。

脳死でNext連打で良いです。

Skip User Groups という罠じみたボタンがありますがその隣のNextを押しましょう。

設定

お次は設定の画面です。今までの設定も設定ですが設定をしていきます。

RECOMMENDEDを押します。

全体設定

全体設定はこんな感じの画面です。

このままNext。

ロックアウト

悪意のあるユーザーがサイトにログインできなくなるようにする設定です。

メールアドレスを入れることで、世界で報告された「攻撃元IPアドレス」を取得し、自動でブロックしてくれるようになります。

私の場合、メールアドレスだけ入力しています。

通知

通知設定です。

必ず誰かが通知メールをONにしなければなりません。

どちらかを選択して、Continueをクリック。

Secure Site

いよいよ最後のステップになります。

この画面でSecure Siteを押します。

全項目にチェックマークがついたら、Finishボタンに変わるので、それを押します。

この画面になったら初期設定は終わりです。お疲れ様でした!

おすすめ設定

ここからは、私の個人的なおすすめ設定を紹介します。

先程の画面で「設定」ボタンを押しましょう。

面倒かもしれませんが、こうすることであなたの大切なサイトのセキュリティをより強力にできます。

いずれも、変更の保存を忘れないでくださいね。

SSL設定

「Enforce SSL」は、SSL通信を強制してくれます。

管理バーのセキュリティメニュー

邪魔なので非表示にしちゃいましょう。

デフォルトBanリスト

すでに危険と報告されているIPアドレスをBanできます。

“admin”ログインの自動Ban

ユーザー名を「admin」にしてログインしようとするユーザーを一発でロックアウトする機能です。

ちなみにログインに使うのは「ニックネーム」ではなく「ユーザー名」なので、この場合は問題ありません。

この仕組みを利用して、罠を仕掛けることも可能です(??)

API周りの設定

ここからは、左メニューの「高度な設定」から行える設定です。

普通にWordPressを使うだけなら、「Disable XML-RPC」で問題ないです。

また、REST APIも「Restricted Access」に変えておきます。

ユーザーアーカイブ無効

投稿数が0のユーザーの投稿一覧を無効にし、「404」を返す設定です。

バックエンドの非表示

ログインURLを変えられる設定です。

セキュリティプラグインといえばこれ。

なぜログインURLを変更するんですか?

単純に、ブルートフォース攻撃(総当たり攻撃)される機会が減るからです。

ブルートフォース攻撃対策をしているとは言っても、対策を重ねるに越したことはありません。

設定画面はこんな感じです。

画像の場合、ログインURLが「https​://サイトURL/mycustomloginurl」になります。

メモするなりブックマークしておくなりしましょう。

この状態でwp-login.phpにアクセスした際にこのような画面になります。

が、特定のURLに飛ばすことも可能です。

「リダイレクトを有効」にチェックを入れ、飛ばしたいスラッグを入れます。

この場合は、「https​://サイトURL/not_found」にリダイレクトされます。

自分の宣伝記事や別サイトにリダイレクトされるスラッグを入れて面白がりましょう。

別サイトに飛ばしたい!という方は、Redirectionプラグインがおすすめ。

WordPress.org 日本語
参考リンク
 
Redirection
https://ja.wordpress.org/plugins/redirection/
Manage 301 redirections, keep track of 404 errors, and improve your site, with no knowledge of Apache or Nginx needed.

まとめ

  1. セキュリティ設定をして安全なサイトを作ろう
  2. iThemes Securityプラグインなら大体の設定はカバーできる

この記事を参考にしながら、みなさんのサイトも是非強くしてみてください!

それでは

WordPress
ABOUT ME
鮎月 / あゆつき
DiscordのBot作ったり、気まぐれで小説書いたりする人。
BLOG:https://ayutsuki.net/
RELATED POST

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です