プラグイン

All In One WP Security(プラグイン)の設定方法と使い方を解説!

WordPressブログを運営していると、極まれにですが「ブログを乗っ取られた」「いたずらされた」と言うような声を周辺から聞くことがあります。

「自分だけは大丈夫」なんて思っている人に限って何者からアタックを受けるか分かりません。

そこでここではWordpressのセキュリティ対策にピッタリなAll In One WP Securityというプラグインの設定方法と使い方について解説していきたいと思います。

プラグインAll In One WP Securityとは?

プラグインAll In One WP Security

All In One WP Securityとはワードプレスのセキュリティを高めてくれるプラグインです。

ワードプレスでブログを運営していると

  • PV数とか
  • 直帰率とか
  • アフィリエイト報酬とか

には物凄く注意深くなるものなんですが、意外とブログのセキュリティには無頓着な人が多いイメージです。

少なくとも僕はそうでした。

多分、セキュリティに無頓着になってしまう理由は「何をしたらいいか良く分からない」というものだと思います。

そんな時にAll In One WP Securityが役に立ちます。

All In One WP Securityをインストールして、設定しておけばそれだけでかなりブログのセキュリティが確保されます。

僕が行っている設定について以下説明していきますので、ぜひ参考にしてみて下さいね。

All In One WP Securityの設定方法と使い方を解説!

All In One WP Securityの設定方法と使い方について以下説明していきます。

このプラグインはかなり設定できる項目が多いですが、全部設定してしまうと場合によってはブログが真っ白になってしまう事もあるので(後述します)必要に応じて自分なりにセキュリティを高めていく。

という使い方が良いです。

All In One WP Securityをインストールして有効化すると、ダッシュボード画面の左側に「WP Security」という選択肢が出来るので、そこから設定していきます。

WP Securiy

設定できる選択肢としては

  • Dashboard
  • settings
  • User Accounts
  • User Login
  • User Resistration
  • Datebase Security
  • Filesystem Security
  • Whois Lookup
  • Blacklist Manager
  • Firewall
  • Brute Force
  • SPAM Prevention
  • Scanner
  • Maintenance
  • Misscellaneous

と沢山ありますが、前述したように全て完璧に設定する必要はないと思います。

自分の状況に合わせて設定していきましょう。(ここで解説するのは黄色マーカーで色を付けた部分になります。)

ちなみにDashboard画面では設定した項目をポイント化して、セキュリティのレベルをグラフと点数で見せてくれます。

All In One WP Securityのダッシュボード画面僕のブログは505点満点で150点でした…

settings

settingsではいくつかのタブを選択出来るようになっていますが、その中で「WP Version Info」というタブを選択し、

「Remove WP Generator Meta Info:」にチェックを入れましょう。

setteings

ここにチェックを入れるとワードプレスのバージョンを隠す事が出来ます。

どういう事かと言うと、ワードプレスはデフォルトではソースコード上に現在のバージョンを表示するようになっています。

それは悪い人にしてみれば「私はこのバージョンのワードプレスを使っています=こんな弱点があります」と宣言してる事になり、セキュリティ上大問題。

ワードプレスのバージョンを隠す事でセキュリティをかなり強化する事が出来るのです。

User Login

UserLogin

「Enable Login Lockdown Feature」にチェックを入れる事で、ここで設定するセキュリティ機能が有効になりますので、チェックを入れましょう。

「Allow Unlock Requests」にチェックを入れると、誰かがログインに失敗してロックアウトされた時に、管理者に「ロックアウト解除願い」を出す為のリンクが、そのロックアウトされてしまった人に送られます。

「Max Login Attempts」はログインするのにトライ出来る回数です。

「Login Retry Time Period」はログインするのにかけていい時間です。(単位は分。)

「Time Length of Lockout」はログインに失敗した時にロックアウトされる時間の長さですね。(この時間が過ぎるとまたログイン施行出来るようになります。)

「Display Generic Error Message」にチェックを入れると、ログインに失敗した時に通常のエラーメッセージが返されるようになります。

「Instantly Lockout Invalid Usernames」にチェックを入れると登録されていないユーザー名を入力した瞬間にログイン失敗となります。

「Instantly Lockout Specific Usernames」に入力したユーザー名は入力したら、その瞬間にログイン失敗となります。

「Notify By Email」にチェックを入れると、誰かがログイン失敗した時にメールで通知が来るようになります。

 

ここは項目が沢山あり、どこにチェックを入れるか迷う部分もあります。

基本的には黄色マーカーで記した項目にチェックを入れ(数値を入力し)、後はご自身の状況に合わせて試してみるのが良いでしょう。

User Loginではタブもかなり沢山あり、多岐にわたってセキュリティチェック出来ますが、「Account Activety Logs」では自分のブログにログインしたユーザー名やIPアドレスが一覧でチェック出来るので時々チェックして、怪しい人がログインしていないか見ておきましょう。

User Login
田村カツオ
田村カツオ
ログインに失敗した履歴も表示されますので、沢山失敗している履歴がある時は不正アクセスしようと何度もチャレンジしたという事が疑われます。

Database Security

Database Securityについてですが、設定した方がセキュリティは高まるのでしょうが、サイトがおかしくなる事があるので、不安なら触らない方が良いです。

ちなみに僕はここを設定したらサブディレクトリを使用しているサイトで不具合が起こった事があります…

ネッコ
ネッコ
触らぬ神に祟りなし。

Firewall

Firewallではファイヤーウォールについて設定が出来ます。

(※ファイヤーウォールとは不正なアクセスからサイトを守る為の防御壁の事です。)

Firewall

タブがいくつかありますが、とりあえず「Basic Firewall Rules」を選択します。

「Enable Basic Firewall Protection」にチェックを入れるとファイヤーウォール設定が有効になりますので、チェックを入れておきましょう。

「Completely Block Access To XMLRPC」「Disable Pingback Functionality From XMLRPC」はどちらかにチェックを入れますが、「Completely Block Access To XMLRPC」の方がセキュリティは強力です。

不具合が起こる場合は「Disable Pingback Functionality From XMLRPC」にチェックを入れておきましょう。

Brute Force

Brute Forceではブルートフォースアタックへの対策が出来ます。

ブルートフォースアタックとは一言で言うと「片っ端から試しまくって不正ログインしようとするもの」であり、

  • あらゆるユーザー名
  • あらゆるパスワード

で、ログインにトライしまくります。

僕自身、おそらくですが、あるブログがこの被害に遭いそうになりました。(幸い、全部失敗しており、ログインはされませんでしたが…)

WordPressのログインページは実は定型的に決まっています。

自分のブログのドメイン/wp-login.php

これがWordpressブログのログインページのURLですね。

僕のブログだったら以前はhttps://tamurakatsuo.com/wp-login.phpがログインページのURLでした。

田村カツオ
田村カツオ
今は違いますけどね。想像もつかないURLですw

設定方法について以下解説していきます。

ブルートフォースアタック対策

Brute Forceの「Rename Login Page」のタブを選択し、「Check this if you want to enable the rename login page feature」にチェックを入れます。

「Login Page URL」では「自分のブログのドメイン/」に続く文字列を入力します。(これがログインページのURLになります。)

 

ブログのログインページのURLを変える事で、悪い人達にとっては「そもそもブログのドメインページにたどり着けない」という事になり、セキュリティが高まります。

田村カツオ
田村カツオ
余談ですが、ダッシュボード画面の「ユーザー」でワードプレスのユーザー表示名も変えておきましょう!

その他

これまで紹介してきた以外にもAll In One WP Securityでは様々なセキュリティ対策を講じる事が出来ます。

僕個人はここで紹介したものを中心に設定していますが、セキュリティ対策はやっておいて損はないです。

またブログのバックアップを取っておく事もセキュリティ上とても大事なのでやっておきましょう。

終わりに。

プラグインAll In One WP Securityの設定方法と使い方について説明してきました。

ブログのセキュリティ対策は結構多くの人がおろそかにしてしまう、というか忘れてしまう部分です。(平和ボケしている日本人ならではでしょうか?(笑))

ただ、「悪い事をしようとする人達」というのは必ずいるものなので、少しでもブログのセキュリティを高めておいて損はありません。

All In One WP Security、ぜひ試してみて下さい。

カツオ
カツオ
たった一つのブログで僕の人生は激変しました。

ずっと稼ぎ続けてくれるネット上の資産を構築するスキルを身につけた事がきっかけです。(詳しくはプロフィールで!)

今では複数のサイトを運営しアフィリエイト報酬を得たり、法人顧客のSEOコンサル等も行っており、副業の収入がサラリーマン時代の月収を超えています。

メルマガの中でその秘密について話しています。

現在、メルマガ登録者限定で初心者がブログアフィリエイトで月収10万円以上稼ぎ、インターネット上に資産を築く為のノウハウが詰まったテキストを無料でプレゼント中!

※僕のメルマガは無料で読んで頂く事が出来ますし、必要ないと感じたらいつでもボタン1つで解除が出来ます。



ABOUT ME
カツオ
毎日のシゴトを「魂レベル」で楽しむ僧侶×Webマーケター。インターネットを用いた人気メディア運営のハウツーを伝授するオンラインレッスンを行ったり、法人顧客に対してWebマーケティングのアドバイスを行っている。趣味は筋トレ、ムエタイ、英語の勉強。

COMMENT

メールアドレスが公開されることはありません。