WordPressは非常に人気なプラットフォームでなんでもできちゃうのですが、一つ弱点があります。
それはセキュリティです。多くの人が使うからこそ、それに対する攻撃も多いのです。
アクセスボリュームにもよりますが悪意あるアクセスは1日にだいたい44件ほどあるそうです。
だからこそ、セキュリティ強化は欠かせません。
・でもセキュリティを強化するって言っても、どうやってするの?
・なんだか難しそうだしお金もかかるんじゃないの?
・セキュリティのプラグインがありすぎてどれが良いのかわからない
なんて悩みはありませんか?
そんな方に朗報です。今回は無料で設定できる方法を伝授します。
ブログサイトや小規模のサイトであれば、有料のものを使わなくても十分だと言えます。
Webサイトのセキュリティを強化しよう!【All-In-One Security and Firewall設定方法】
プラグイン>「新規追加」>All-In-One Security and Firewallをインストールをして有効化
プラグイン>「新規追加」>キーワード検索窓から「all in one security」と検索したら上の方に出てきます。
「今すぐインストール」をクリックして「有効化」も忘れずしてください。
ダッシュボードを確認
有効化ができたら、まずは下記の画像のようなお知らせが出てくるかと思いますので、まずは「今すぐ設定」をクリックします。
ここにメーターのようなものが表示されます。このメーターが強化をしていくごとに数字が増え、グリーンの部分へと針が示してくれます。
この針がグリーンにいくまで設定しましょうね。
画面を下にスクロールすると下記のような現在のステータス状態が出てきますので、これらすべてがONになるようにチェックしていきます。
ステータスをすべてグリーンにしよう
管理者のユーザー名
この画像では「ON」になっていますが、ここが「OFF」になっている方もいるかと思います。
どちらになっていても「ON」「OFF」あたりをクリックしてください。
Account login nameは絶対に「admin」はダメだよ〜!と知らせてくれています。
そもそもadminに設定している方は少ないと思うのですが、海外では非常によくある管理者の名前なので避けるように警告されています。
万が一、ワードプレスにログインするときのユーザー名がadminになっている方はすぐに変更してください。
また、「表示名」タブの中に説明があるように、「ニックネームと表示名をユーザー名とは異なるものに変更することをおすすめします。」ということなので、ユーザー名とニックネームなどが同じになっている方は今すぐ変更しましょう。
ユーザー名から変更画面に飛べるようになっているのでユーザー名をクリック。
するとこのような画面になります。
ちなみに、ニックネームは日本語表記でも構いません。ニックネームを変更することで表示名も変更することができます。
ログイン制限
ダッシュボードに戻り、またこのステータス表示画面に戻ります。
ログイン制限の「ON」「OFF」あたりをクリックしてください。
下記の画像のように設定することをおすすめします。
大きい枠に描かれているのは、ユーザー名が勝手に生成されて上記のようなユーザー名でログイン試行された場合などには、即座にブロックするようにします。海外ではよく利用されているユーザー名です。
また、実際にあなたが使っているユーザー名に近い名前や想像がつきやすい名前なども付け足しても良いかと思います。
チェックや記入が終わったら、保存をお忘れなく。
保存できたら「強制的にログアウト」のタブに移動します。
あなた自身がワードプレスにログインし続けていて、180分間すぎたら強制的にログアウトさせられるという意味ですが、仮にハッカーにログインされてしまった場合は180分間は勝手に操作されるということなので短く設定しても良いのですが、その代わりに短くすればするほどあなた自身も何度もログインすることになります。
もし、作業するのに180分間は短すぎる!という場合は、あなたが作業するであろう時間を分単位で変更してください。
設定した時間によっては、保存をした後に即座にログアウトさせられる場合があるので、その場合は再度ログインをし直してください。
ファイルパーミッション
ダッシュボードに戻り、またこのステータス表示画面に戻ります。
ファイルパーミッションの「ON」「OFF」あたりをクリックしてください。
「Set recommended permissions」もしくは「推奨パーミッションを設定」をクリックして設定します。
「WP File Access」のタブに移動して、ここもチェックして保存してください。
基本的なファイアウォール
ダッシュボードに戻り、ステータス表示画面に戻ります。
基本的なファイアウォールの「ON」「OFF」あたりをクリックしてください。
下記のように設定することをおすすめします。
それらが設定できたら、一旦ダッシュボードに戻りましょう。
数値も100以上になり、グリーンに針が動いていると思います。
Mikakoさて、一旦深呼吸しましょうか。セキュリティ設定は大切なだけに項目がたくさんあって大変だと思いますが、あと少し!頑張りましょう!
ここからさらに強化していきます。
「設定」を設定します
.htacessファイル
.htacessはワードプレスをインストールすると必ず生成されるファイルなのですが、とても大事な情報が詰まっています。
バックアップのプラグイン「All-In-One WP Migration」にてバックアップをとった場合には必要ないかもしれませんが、心配な方はここでもバックアップをとっておいても良いと思います。
バックアップされた.htacessはご自分のパソコンには直接保存されず、データベースに新たにファイルが生成されるので、その中に保存されます。(下記画像参照)
wp-config.phpファイル
こちらも.htacessファイルと同じく、バックアップを念のためとっておいても良いでしょう。
Delete Plugin Settings
このAll-In-One Security and Firewallを無効化ではなく、アンインストールした場合に「完全に削除しますか?」と聞かれています。
このようにセキュリティプラグインで設定した内容を放置したままアンインストールをして、他のプラグインを導入した時にバグが起きたりする可能性もあるので、これらにはチェックをすることをおすすめします。
WPバージョン情報
ワードプレスのバージョンの表記を削除するかどうかを決めます。
ワードプレスのバージョンによっては、アタックしやすいバージョンがあるようです。
そのバージョンを使っていることをハッカーに知らせるのは「わたしのサイトはアタックしやすいです」と伝えるのと同じことかもしれないので、それらの情報が書かれている部分のメタ情報は削除しても良いでしょう。
Spam Preventionを設定
Comment Spam
コメントをブログなどにそもそもつけていない方には必要のない設定ですが、もしコメントなどで閲覧者の方とコミュニケーションを取っていきたいということであれば、チェックしましょう。
不当なドメインからのコメントや物理的に入力されていないコメントはブロックされます。
わたしは3日間が過ぎたらゴミ箱行きにしています。
まとめ
今回ご紹介したAll-In-One Security and Firewallはところどころ英語ですが、それでも日本語で十分理解できる部分が多いので、その分情報も多いです。
もしあなたのWebサイトの規模が小さめであれば、最低限のセキュリティで十分だとわたしは思っています。
ログインシステムなどを導入していたり、オンラインで商品を販売されている場合は、もう少し強化した方が良いかもしれませんが、あまり強化しすぎると、今度は自分自身が扱いづらくなってしまいます。
そのあたりの塩梅が難しいところですが、「ほどほどに」という感覚で良いでしょう。
では素敵なホームページ作成を!
土台となるホームページを作りたいけど、どこから始めれば良いかわからない。
シンプルで見やすいホームページを作りたいけど、めんどくさい。
自分でやってみたけど、なんだかうまくいかなくて困っている。
などのお悩みはありませんか?
このブログをご覧いただいている方特別に、
10%OFFでホームページをお作りします!
お問い合わせから「cotta design studioのブログを見ました」と書いてご連絡ください。
詳細は下記のWebサイトをご覧くださいませ。
cottadesigns.com
コメント