はじめに

前回からの続きで、WordPressでサイトの運営するにあたって便利なセキュリティ対策プラグイン「All In One WP Security」を紹介していきます。

前回の記事はこちら

「All In One WP Security」は海外製ですが日本語に対応しており多機能で無料、インストール数はなんと100万件を超える評価の高いプラグインになっています。

All In One WP Securityとは？

様々なセキュリティ設定が簡単に行えます。

・ログイン画面を守る
・データベースを守る
・悪意のあるアクセスを防ぐ
・コンテンツの盗用を防ぐ
本来システム会社に発注しなければならない総合的なセキュリティ機能を初心者でも、わりと簡単に無料で出来てしまう優れもののプラグインです。

All In One WP Securityの使い方と設定方法

SiteGuard WP Pluginをインストールし、有効化すると下に専用のメニューが登場します。

All In One WP Securityは多機能なために設定の多さだけをみると難しく感じてしまうかもしれません。
今回は最も肝心なところの基本でもある、外側で攻撃をシャットアウトするおすすめの方法5選を紹介します。

・WP Username
・Login lockout
・ブルートフォース
・ファイアオール
・Miscellaneous

ユーザーアカウント

WP Username

ユーザー名とは、WordPress管理画面にログインする時に必要な英数字のことですが、最初にWordPressをインストールする時に任意で設定しています。
運用の現場では簡単インストールによって初期設定で「admin」に自動で作成されてしまいます。ですのでユーザー名に「admin」が使われがちになっており「admin」は最もブルートフォース(パスワード総当たり)攻撃の標的になっているユーザー名です。
WPユーザー名の機能では、以下のように「admin」というユーザー名があるかチェックして、あった場合は違うユーザー名に変更ができます。

※WordPressのデフォルト設定でユーザー名を変更する場合、管理画面メニューにある「ユーザー」→「新規追加」を開き、新しいユーザー名を作成し、ユーザーの権限グループは必ず「管理者」にします。
ユーザー一覧に戻り、旧ユーザー名「admin」を削除することで変更します。

ログインロック設定

Login lockout

ログインを何度か失敗した場合、そのユーザー（IPアドレス）を一時的にログインできなくする機能です。
ユーザー名・パスワードの入力を試せる回数を制限する設定をしておくことで、ブルートフォース(パスワード総当たり)攻撃によるユーザー名とパスワードが盗まれることが防げます。

Max Login Attempts：3
Login Retry Time Period (min)：5
Time Length of Lockout (min)：60
上図のような設定をすると、5分以内に3回ログインを失敗した場合、そのユーザーは60分間ログインが禁止されます。

Notify By Email：
チェックしてメールアドレスを入力しておけば、誰かがログインロックされた時に、その情報がメールで届く。

ブルートフォース(総当たり攻撃)

Rename Login Page（ログインページのURL変更）

ログインページ変更機能では、WordPressログインページ名を変更することができます。
WordPressは、httpss://ドメイン名/wp-login.php のログインURLから誰でもアクセスできてしまうため、ブルートフォース攻撃(パスワード総当たり攻撃)やパスワードリスト攻撃が可能な状態となっています。
ログインページ変更機能では、WordPressログインページ名を変更することができ、攻撃者からログインURLを隠しサイバー攻撃からのセキュリティを高めます。　

Enable Rename Login Page Feature：
この機能をONにするため、チェックを入れる。

Login Page URL：
枠内に新しいログインURLを入力する

攻撃者からログインURLを隠しサイバー攻撃による不正アクセスを防ぎます。
WordPressではログインページのURLはデフォルトで、（サイトのURL）/wp-login.php になっています。この部分をリネームして、正規ユーザー以外がログイン画面に入れないようにします。

前回紹介した「SiteGuard WP Plugin」のログインページ変更と全く同じことが「All In One WP Security」でもできます。

Login Captcha（キャプチャ設定）

ログイン時のキャプチャ設定ではフォームに簡単な足し算などを追加することにより、自動プログラム(ロボット)による不正アクセスを防ぐことができます。
ロボットは自動的にサイトを巡回して不正アクセスを試みるプログラムですが、ロボットは計算を理解して回答を入力する機能を持たされていないため、フォームに計算式などを追加することでロボットの不正アクセスを防ぐことができます。

ファイアウォール

ファイアウォールとは本来火災などから防御するための防火壁のことを言いますが、ここではWordPressの管理画面からではなく外部からの遠隔操作によるネットワーク攻撃や不正アクセスを防御する機能です。

basic Firewall Rules（基本的なファイヤーウォールのルール設定）

チェックすると以下の機能が有効になります。

.htaccessファイルへのhttpsアクセス禁止
サーバーの署名無効化
ファイルアップロードファイル制限
wp-config.phpへのhttpsアクセス禁止

アップロードファイルのサイズは制限は自分のサイトにあった値を設定してください。(ここでは動画等も考え50MBにしています)

XMLRPCとは、WordPressの管理画面からではなく、サイト外から遠隔操作するために用意された機能です。しかし、ここに脆弱性は存在し悪用されてしまう可能性があります。
外部からのXML-RPCへのアクセスを完全にブロックしたい場合は、チェックすることで外部からの遠隔操作による侵入の可能性を減らせます。

Miscellaneous(その他の設定)

Copy Protection(テキストコピー防止機能)

テキストコピー防止機能が有効化されます。
サイト内で右クリック、テキスト選択、コピーの操作ができなくなります。

Users Enumeration

WordPressでは （ドメイン/WordPress/?author=1 ）にアクセスされると、管理者情報が外部から閲覧でき、ユーザー情報を抜き出されてしまうことがあります。
Dsable Users Enumeration にチェックを入れて保存すると、もし閲覧可能な管理者情報ページに外部からアクセスがあってもエラー(forbidden）が表示されブロックすることができます。

WP REST API

WordPress REST APIとは、リセットを要求するプログラムのことのようで主にWordPressの記事の投稿です。
脆弱性をついた不正アクセスから、管理者ユーザーがログインしていないのに投稿、編集されないようにするための機能です。
つまり、許可されていないリクエスト(不正アクセスなど)に対してWordPress REST APIのアクセスをブロックする機能です。
ただ、他のプラグインとの干渉があるようです、メールフォームプラグインなどが自動でこのAPIを使ってメール送受信を行うことがあるため、APIについては修正・制御できる人がいない場合はひとまず無効のままで良いと思います。

終わりに

「All In One WP Security」は多機能なために設定がたくさんあって難しく思うかもしれませんが、前回紹介した「SiteGuard WP Plugin」とあわせて導入することを検討してみることをお勧めします。
ぜひ、サイバー攻撃から情報資産を守り、安全なサイト運営にぜひご活用ください。

また当社ではWebサイト制作の他にも、DTP制作・SEO対策・Webマーケティングを通じて、お客様のビジネスを成功に導くお手伝いをさせていただいておりますのでお気軽にご相談ください！