プラグイン

All In One WP Security(プラグイン)の設定方法と使い方を解説!

カツオのメルマガ

 

WordPressブログを運営していると、極まれにですが「ブログを乗っ取られた」「いたずらされた」と言うような声を周辺から聞くことがあります。

「自分だけは大丈夫」なんて思っている人に限って何者からアタックを受けるか分かりません。

そこでここではWordpressのセキュリティ対策にピッタリなAll In One WP Securityというプラグインの設定方法と使い方について解説していきたいと思います。

プラグインAll In One WP Securityとは?

プラグインAll In One WP Security

All In One WP Securityとはワードプレスのセキュリティを高めてくれるプラグインです。

ワードプレスでブログを運営していると

  • PV数とか
  • 直帰率とか
  • アフィリエイト報酬とか

には物凄く注意深くなるものなんですが、意外とブログのセキュリティには無頓着な人が多いイメージです。

少なくとも僕はそうでした。

多分、セキュリティに無頓着になってしまう理由は「何をしたらいいか良く分からない」というものだと思います。

 

そんな時にAll In One WP Securityが役に立ちます。

All In One WP Securityをインストールして、設定しておけばそれだけでかなりブログのセキュリティが確保されます。

僕が行っている設定について以下説明していきますので、ぜひ参考にしてみて下さい。

All In One WP Securityの設定方法と使い方を解説!

All In One WP Securityの設定方法と使い方について以下説明していきます。

このプラグインはかなり設定できる項目が多いですが、全部設定してしまうと場合によってはブログが真っ白になってしまう事もあるので(後述します)必要に応じて自分なりにセキュリティを高めていく。

という使い方が良いです。

 

All In One WP Securityをインストールして有効化すると、ダッシュボード画面の左側に「WP Security」という選択肢が出来るので、そこから設定していきます。

WP Securiy

設定できる選択肢としては

  • Dashboard
  • settings
  • User Accounts
  • User Login
  • User Resistration
  • Datebase Security
  • Filesystem Security
  • Whois Lookup
  • Blacklist Manager
  • Firewall
  • Brute Force
  • SPAM Prevention
  • Scanner
  • Maintenance
  • Misscellaneous

と沢山ありますが、前述したように全て完璧に設定する必要はないと思います。

自分の状況に合わせて設定していきましょう。(ここで解説するのは黄色マーカーで色を付けた部分になります)

ちなみにDashboard画面では設定した項目をポイント化して、セキュリティのレベルをグラフと点数で見せてくれます。

All In One WP Securityのダッシュボード画面僕のブログは505点満点で150点でした…

settings

settingsではいくつかのタブを選択出来るようになっていますが、その中で「WP Version Info」というタブを選択し、

「Remove WP Generator Meta Info:」にチェックを入れましょう。

setteings

ここにチェックを入れるとワードプレスのバージョンを隠す事が出来ます。

どういう事かと言うと、ワードプレスはデフォルトではソースコード上に現在のバージョンを表示するようになっています。

 

それは悪い人にしてみれば「私はこのバージョンのワードプレスを使っています=こんな弱点があります」と宣言してる事になり、セキュリティ上大問題。

ワードプレスのバージョンを隠す事でセキュリティをかなり強化する事が出来るのです。

User Login

UserLogin

「Enable Login Lockdown Feature」にチェックを入れる事で、ここで設定するセキュリティ機能が有効になりますので、チェックを入れましょう。

「Allow Unlock Requests」にチェックを入れると、誰かがログインに失敗してロックアウトされた時に、管理者に「ロックアウト解除願い」を出す為のリンクが、そのロックアウトされてしまった人に送られます。

「Max Login Attempts」はログインするのにトライ出来る回数です。

「Login Retry Time Period」はログインするのにかけていい時間です。(単位は分。)

「Time Length of Lockout」はログインに失敗した時にロックアウトされる時間の長さですね。(この時間が過ぎるとまたログイン施行出来るようになります。)

「Display Generic Error Message」にチェックを入れると、ログインに失敗した時に通常のエラーメッセージが返されるようになります。

「Instantly Lockout Invalid Usernames」にチェックを入れると登録されていないユーザー名を入力した瞬間にログイン失敗となります。

「Instantly Lockout Specific Usernames」に入力したユーザー名は入力したら、その瞬間にログイン失敗となります。

「Notify By Email」にチェックを入れると、誰かがログイン失敗した時にメールで通知が来るようになります。

 

ここは項目が沢山あり、どこにチェックを入れるか迷う部分もあります。

基本的には黄色マーカーで記した項目にチェックを入れ(数値を入力し)、後はご自身の状況に合わせて試してみるのが良いでしょう。

User Loginではタブもかなり沢山あり、多岐にわたってセキュリティチェック出来ますが、「Account Activety Logs」では自分のブログにログインしたユーザー名やIPアドレスが一覧でチェック出来るので時々チェックして、怪しい人がログインしていないか見ておきましょう。

User Login
カツオ
カツオ
ログインに失敗した履歴も表示されますので、沢山失敗している履歴がある時は不正アクセスしようと何度もチャレンジしたという事が疑われます。

Database Security

Database Securityについてですが、設定した方がセキュリティは高まるのでしょうが、サイトがおかしくなる事があるので、不安なら触らない方が良いです。

ちなみに僕はここを設定したらサブディレクトリを使用しているサイトで不具合が起こった事があります…

ネッコ
ネッコ
触らぬ神に祟りなし。

Firewall

Firewallではファイヤーウォールについて設定が出来ます。

(※ファイヤーウォールとは不正なアクセスからサイトを守る為の防御壁の事です。)

Firewall

タブがいくつかありますが、とりあえず「Basic Firewall Rules」を選択します。

「Enable Basic Firewall Protection」にチェックを入れるとファイヤーウォール設定が有効になりますので、チェックを入れておきましょう。

「Completely Block Access To XMLRPC」「Disable Pingback Functionality From XMLRPC」はどちらかにチェックを入れますが、「Completely Block Access To XMLRPC」の方がセキュリティは強力です。

不具合が起こる場合は「Disable Pingback Functionality From XMLRPC」にチェックを入れておきましょう。

Brute Force

Brute Forceではブルートフォースアタックへの対策が出来ます。

ブルートフォースアタックとは一言で言うと「片っ端から試しまくって不正ログインしようとするもの」であり、

  • あらゆるユーザー名
  • あらゆるパスワード

で、ログインにトライしまくります。

僕自身、おそらくですが、あるブログがこの被害に遭いそうになりました。(幸い、全部失敗しており、ログインはされませんでしたが…)

WordPressのログインページは実は定型的に決まっています。

自分のブログのドメイン/wp-login.php

これがWordpressブログのログインページのURLですね。

僕のブログだったら以前はhttps://tamurakatsuo.com/wp-login.phpがログインページのURLでした。

カツオ
カツオ
今は違いますけどね。想像もつかないURL。

設定方法について以下解説していきます。

ブルートフォースアタック対策

Brute Forceの「Rename Login Page」のタブを選択し、「Check this if you want to enable the rename login page feature」にチェックを入れます。

「Login Page URL」では「自分のブログのドメイン/」に続く文字列を入力します。(これがログインページのURLになります。)

 

ブログのログインページのURLを変える事で、悪い人達にとっては「そもそもブログのドメインページにたどり着けない」という事になり、セキュリティが高まります。

カツオ
カツオ
余談ですが、ダッシュボード画面の「ユーザー」でワードプレスのユーザー表示名も変えておきましょう!

その他

これまで紹介してきた以外にもAll In One WP Securityでは様々なセキュリティ対策を講じる事が出来ます。

僕個人はここで紹介したものを中心に設定していますが、セキュリティ対策は他にもやっておいて損はないです。

またブログのバックアップを取っておく事もセキュリティ上とても大事なのでやっておきましょう。

All In One WP Securityの設定方法と使い方 まとめ

プラグインAll In One WP Securityの設定方法と使い方について説明してきました。

ブログのセキュリティ対策は結構多くの人がおろそかにしてしまう、というか忘れてしまう部分です。

 

ただ、「悪い事をしようとする人達」というのは必ずいるものなので、少しでもブログのセキュリティを高めておいて損はありません。

All In One WP Security、ぜひ試してみて下さい。

P.S.

僕は会社での面倒くさい人間関係や飲み会、パワハラが嫌になり、無計画に会社を辞めました。

その結果、一時的には月収10万円も稼げないような状態になりましたが、ブログマネタイズからビジネスを始め、今では副業での収入が月30万円は安定的に。それ以上の月も全然ある状態です。

その時のストーリーやノウハウなど、表のブログでは書けない事をメルマガでは公開していますので、良かったらメルマガ登録してみて下さい。

完全無料です。

カツオのメルマガ
 

※携帯電話のメールアドレスでは登録出来ませんのでご注意下さい。

GmailやYahooメールなどがオススメ。

ABOUT ME
カツオ
ノマド坊主。東南アジアが好き。キックボクシングが好き。ヨガが好き。大学卒業後にブラック勤務を経験。逃げるように坊主になるも、お金が無くなり、絶望的な状況に。 PC一台で個人ビジネスが出来る事を知って実践してみたところ、月収10万→30万→100万と割と順調にステップアップ。 今は田舎で自由に楽しく緩くノマド坊主的ライフスタイルを楽しんでいる。
こんな記事も読まれています。

COMMENT

メールアドレスが公開されることはありません。