All In One WP Securityの使い方

WordPressのオススメセキュリティプラグインの１つ。All In One WP Securityの使い方をご紹介します。

All In One WP Securityは出来ることが多いので、今回は最低限、これはやっておいた方が良い！って設定をご紹介します。

All In One WP Security

プラグインの新規追加の検索で、All In One WP Securityと入力。

インストールから有効化まで進めます。

有効化が完了すると、設定の下に【WPセキュリティ】という項目が追加されます。

ここで、All In One WP Securityの様々な設定ができます。

ファイアウォール

ファイアウォールは設定しておいた方が良い設定です。

注意点は、ファイアウォール設定の中の項目はサーバー内にあるファイルへの書き込み防止やアクセス防止のセキュリティになります。

その為、この設定を追加することで、サーバーのファイルへの書き込みやアクセスを必要とする他のプラグインが使えなくなるという場合もございます。

もし、他のプラグインの機能がうまく設定できないといった場合は、一度こちらのファイアウォールの設定をOFFにして試してみるなどをしてくださいませ。

WordPress XML-RPCのアクセス制限の設定は、詳細の注にも記載がある通り、使用しているレンタルサーバーでXML-RPCの機能を使用していない場合のみ、チェックをいれましょう。

※Xサーバーの場合だと、サーバーパネルのWordPressセキュリティ設定の項目で、XML-RPCのアクセス制限の設定が可能です。その為、Xサーバーを利用の場合は、チェックは不要。
他のサーバーの場合は、各サーバー会社のマニュアルなどでXML-RPCについて調べてみてください。

ファイアウォールのチェックが終わり保存すれば、設定は完了です。

総当たり攻撃

これはDDOS攻撃や不正アクセスを防ぐ為の機能です。

WordPressのログイン画面のURLはディフォルトだと http://○○.com/wp-adminになります。

wp-adminがログイン画面に繋がるというのは、不正ログインを狙っている悪者も知っているということなので、自動ログインロボットなどを使って、手当たり次第にサイトURLにwp-adminを付けてログイン画面を探る。そしてWordpressのログイン画面で、ユーザー名やパスワードを探っていき不正ログインを狙っています。

このセキュリティ設定では、このwp-adminを変更して、違うURLでログイン画面に繋がることができます。

総当たり攻撃メニューで、ログインページの名前変更機能を有効化にチェックを入れる。

ログインページ URLの空白に好きな文字列を記載します。

※好きな文字列といってもURLなので、英語小文字・数字・記号は-もしくは_で作成するようにしましょう。

保存が完了すれば、ログイン用のURLが変わります。もしwp-adminの状態でブラウザなどにブックマークしている場合は、必ずブックマークを変更しておきましょう！

以上です。

他にもセキュリティを強化する為の設定は可能ですが、それはご自身のサイトやサーバーにあった対応をしていきましょう。

今回ご紹介したのは、最低限設定しておいた方がよいセキュリティとなります。このセキュリティを導入した＝不正ログインはされない！では無いのですが、全くやっていないより全然良いので、ぜひ設定はしておきましょう！