プラグイン

All In One WP Security(プラグイン)の設定方法と使い方を解説!

この記事の内容

この記事ではAll In One WP Securityの設定方法と使い方について解説していきます。

ログイン画面のURL変更やファイヤーウォールなど色々な防御策が簡単に設定できますよ。

WordPressのセキュリティを高めたい方は是非参考にしてみて下さいね!

田村カツオ
田村カツオ
この記事の要点ですが↓

All In One WP Securityを使って少なくとも

  • settings
  • User Login
  • Firewall
  • Brute Force

は設定してセキュリティを高めておきましょう。

後は自分の状況に合わせてお好みで!

この記事を読むことでAll In One WP Securityの設定方法のポイントが掴めて、貴方のブログのセキュリティがUP!
カッパ君
カッパ君
内容に入っていくよん!

プラグインAll In One WP Securityとは?

All In One WP Security

All In One WP Securityとはワードプレスのセキュリティを高めてくれるプラグインです。

簡単な設定でWordPressブログのセキュリティを高める優れもの。

ただし、設定項目が色々あり、初心者の方が「とりあえずこの機能も使ってみよう感覚」で意味を理解せずに使っていると危険!

突然画面が白くなったり、ログインできなくなったりするので以下で説明している部分から徐々に設定していきましょう!

田村カツオ
田村カツオ
ちなみに昔の僕は画面が白くなったり、ログインできなくなった経験者です…

All In One WP Securityの設定方法と使い方を解説!

All In One WP Securityの設定方法と使い方について以下説明していきます。

このプラグインはかなり設定できる項目が多いですが、全部設定してしまうと場合によってはブログが真っ白になってしまう事もあるので必要に応じて自分なりにセキュリティを高めていく。

という使い方が良いです。

 

All In One WP Securityをインストールして有効化すると、ダッシュボード画面の左側に「WP Security」という選択肢が出来るので、そこから設定していきます。

WP Securiy

設定できる選択肢としては

  • Dashboard
  • settings
  • User Accounts
  • User Login
  • User Resistration
  • Datebase Security
  • Filesystem Security
  • Whois Lookup
  • Blacklist Manager
  • Firewall
  • Brute Force
  • SPAM Prevention
  • Scanner
  • Maintenance
  • Misscellaneous

と沢山ありますが、前述したように全て完璧に設定する必要はないと思います。

自分の状況に合わせて設定していきましょう。

カッパ君
カッパ君
ここで解説するのは黄色マーカーで色を付けた部分だからねー

ちなみにDashboard画面では設定した項目をポイント化して、セキュリティのレベルをグラフと点数で見せてくれます。

All In One WP Securityのダッシュボード画面僕のブログは505点満点で150点でした…

 

では今から

  • settings
  • User Login
  • Firewall
  • Brute Force

の設定について説明していきますね!

settings

settings

settingsではいくつかのタブを選択出来るようになっていますが、その中で「WP Version Info」というタブを選択し、

「Remove WP Generator Meta Info:」にチェックを入れましょう。

ここにチェックを入れるとワードプレスのバージョンを隠す事が出来ます。

どういう事かと言うと、ワードプレスはデフォルトではソースコード上に現在のバージョンを表示するようになっています。

 

それは悪い人にしてみれば「私はこのバージョンのワードプレスを使っています=こんな弱点があります」と宣言してる事になり、セキュリティ上大問題。

ワードプレスのバージョンを隠す事でセキュリティをかなり強化する事が出来るのです。

User Login

UserLogin

「Enable Login Lockdown Feature」にチェックを入れる事で、ここで設定するセキュリティ機能が有効になりますので、チェックを入れましょう。

「Allow Unlock Requests」にチェックを入れると、誰かがログインに失敗してロックアウトされた時に、管理者に「ロックアウト解除願い」を出す為のリンクが、そのロックアウトされてしまった人に送られます。

「Max Login Attempts」はログインするのにトライ出来る回数です。

「Login Retry Time Period」はログインするのにかけていい時間です。(単位は分)

「Time Length of Lockout」はログインに失敗した時にロックアウトされる時間の長さですね。(この時間が過ぎるとまたログイン施行出来るようになります)

「Display Generic Error Message」にチェックを入れると、ログインに失敗した時に通常のエラーメッセージが返されるようになります。

「Instantly Lockout Invalid Usernames」にチェックを入れると登録されていないユーザー名を入力した瞬間にログイン失敗となります。

「Instantly Lockout Specific Usernames」に入力したユーザー名は入力したら、その瞬間にログイン失敗となります。

「Notify By Email」にチェックを入れると、誰かがログイン失敗した時にメールで通知が来るようになります。

 

ここは項目が沢山あり、どこにチェックを入れるか迷う部分もあります。

基本的には黄色マーカーで記した項目にチェックを入れ(数値を入力し)、後はご自身の状況に合わせて試してみるのが良いでしょう。

User Loginではタブもかなり沢山あり、多岐にわたってセキュリティチェック出来ますが、「Account Activety Logs」では自分のブログにログインしたユーザー名やIPアドレスが一覧でチェック出来るので時々チェックして、怪しい人がログインしていないか見ておきましょう。

UserLogin
カツオ
カツオ
ログインに失敗した履歴も表示されますので、沢山失敗している履歴がある時は不正アクセスしようと何度もチャレンジしたという事が疑われます。

Firewall

Firewall

Firewallではファイヤーウォールについて設定が出来ます。

(※ファイヤーウォールとは不正なアクセスからサイトを守る為の防御壁の事です。)

タブがいくつかありますが、とりあえず「Basic Firewall Rules」を選択します。

「Enable Basic Firewall Protection」にチェックを入れるとファイヤーウォール設定が有効になりますので、チェックを入れておきましょう。

「Completely Block Access To XMLRPC」「Disable Pingback Functionality From XMLRPC」はどちらかにチェックを入れますが、「Completely Block Access To XMLRPC」の方がセキュリティは強力です。

不具合が起こる場合は「Disable Pingback Functionality From XMLRPC」にチェックを入れておきましょう。

Brute Force

Brute Force

Brute Forceではブルートフォースアタックへの対策が出来ます。

ブルートフォースアタックとは一言で言うと「片っ端から試しまくって不正ログインしようとするもの」であり、

  • あらゆるユーザー名
  • あらゆるパスワード

で、ログインにトライしまくります。

 

僕自身、おそらくですが、あるブログがこの被害に遭いそうになりました。(幸い、全部失敗しており、ログインはされませんでしたが…)

WordPressのログインページは実は定型的に決まっています。

自分のブログのドメイン/wp-login.php

これがWordpressブログのログインページのURLですね。

僕のブログだったら以前はhttps://tamurakatsuo.com/wp-login.phpがログインページのURLでした。

カツオ
カツオ
今は違いますけどね。想像もつかないURL。

設定方法について以下解説していきます。

Brute Forceの「Rename Login Page」のタブを選択し、「Check this if you want to enable the rename login page feature」にチェックを入れます。

「Login Page URL」では「自分のブログのドメイン/」に続く文字列を入力します。(これがログインページのURLになります。)

 

ブログのログインページのURLを変える事で、悪い人達にとっては「そもそもブログのドメインページにたどり着けない」という事になり、セキュリティが高まります。

カツオ
カツオ
余談ですが、ダッシュボード画面の「ユーザー」でワードプレスのユーザー表示名も変えておきましょう!

All In One WP Securityで注意する事。

All In One WP Securityの設定で注意すべき点を述べていきます。

Database Security

Database Securityについてですが、設定した方がセキュリティは高まるのでしょうが、サイトがおかしくなる事があるので、不安なら触らない方が良いです。

ちなみに僕はここを設定したらサブディレクトリを使用しているサイトで不具合が起こった事があります…

カッパ君
カッパ君
触らぬ神に祟りなし。

Maintenance

ここで「Enable Front-end Lockout」という箇所にチェックを入れているとブログが外部から見る事が出来なくなります。

ダッシュボード画面は普通に見る事が出来るので、場合によっては気が付くのが遅くなります…

僕はこれでかなりの機会損失をしてしまった経験があるので、一応気を付けた方がいいでしょう。

ABOUT ME
田村カツオ
副業お坊さんブロガー。失敗ばっかりで苦労もしたけどブログが好き!YouTubeとTwitterもよろしくお願いします!

COMMENT

メールアドレスが公開されることはありません。

20 + 14 =