アウトプット 2020.10.06

最新のWordPressセキュリティ対応プラグイン

WordPress(以降、WP)は昔からセキュリティの脆弱性が懸念されてきました。
最近ではあまり脆弱性が騒がれることは無くなりましたが、過信せずセキュリティ対策をしておく事は大切です。

弊社でもセキュリティのプラグインを導入していますが、WPのプラグインを再検討する機会がありましたので、最新のセキュリティ系プラグインについて少し調べてみました。

何はともあれ、プラグイン以前に、まずできることとして「wp-config.php」を守ることが肝心です。
「wp-config.php」を守るために、アクセス権限をデフォルト(644)から変更しましょう。
アクセス権限を「600」「400」に変更することで、所有者だけが読み書きできるようになります。 

あとはWPのアップデートも重要になってきます。
新しいバージョンが出ると管理画面に通知が出ますので、無視せずに更新しましょう。
またPHPのバージョンも対応してアップデートしていくことが必要です。 

そしてパスワードですね。いつも使うからと簡単なものにしていませんか?
10桁以上の大文字・小文字・記号・英数を絡めた強力なパスワードに設定しましょう。 

管理画面にのログインURLにBasic認証などをかけておくのも良いと思います。

また、管理画面のURLが
https://ドメイン/wp-login.php」のように直下にwp-login.phpがある場合が多いので、
https://ドメイン/hoge/wp-login.php」のように一つディレクトリを噛ませることで特定しにくくなるというのも有効かもしれません。

現在のWPであればこの辺りをしっかりしておくだけでも、結構セキュリティとして効力があるんではないでしょうか

そしてさらにセキュリティを強力にする為にプラグインを入れておきましょう。 

というわけで最近のおすすめ無料プラグインを紹介します。
(最新のWPバージョンで対応テストが済んでいないものは対象外としました) 

1.SiteGuard WP Plugin

https://ja.wordpress.org/plugins/siteguard/ 

このプラグインは日本語対応の簡単な設定だけで以下の攻撃に対応してくれるそうです。

・不正ログイン
・管理ページ(/wp-admin/)への不正アクセス
・コメントスパム

あまりWPの運用に詳しくないような方でも入れておくだけで安心度が増すので使いやすいかもしれません。 

【機能】
・管理ページアクセス制限
・ログインページ変更
・画像認証
・ログインロック
・ログインアラート
・更新通知
・ログイン履歴の取得 など 

ただこのプラグインの注意点はインストールして有効化すると、自動的にログインページのURLを変更します。(WordPressのログインページ(wp-login.php)を「login_<5桁の乱数>」に変更します。)
これはこれでwp-login.phpを特定させないすごい機能ではありますが、あまり複数の人が関わるサイトだと、「ログインできないトラブル」が起こりうる懸念はあるので管理を徹底する必要がありそうです。※変更設定を解除もできます。 

 

2.All In One WP Security & Firewall

https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 

このプラグインは先ほどのプラグインより包括的に対応できるプラグインのようなので、製作者向きかもしれません。【機能】
・WordPressのバージョン情報を消す
・ログイン試行回数制限を設定
・データベースの接頭辞を変更する
・ファイルへのアクセス
・編集を禁止する
・ファイアウォールを設定する
・ブルートフォースアタックを防ぐ
・コメントスパムの対策をする
・「右クリック」「テキスト選択」「コピー」を禁止する 

このプラグインはかなり高機能でしたのでここに長々と書くよりも
https://keiei.co/all-in-one-wp-security-firewall/
この辺りを見てもらうのが良いかと思います。

 

あとはスパムコメント対応として有効な

3.Throws SPAM Away

https://wordpress.org/plugins/throws-spam-away/

株式会社ジーティーアイの佐藤さんが作られたプラグインですので日本語対応で設定も簡単。
「Akismet」よりも使いやすく、WPのアップグレードにもしっかり対応してくれています。
機能も
・日本語判定(日本語を含むかどうか)
・NGキーワード判定
・リンク含有数判定
・ダミー項目による判定(スパムロボット対策)
・IPアドレスによる判定
と豊富です。

 

最後に、セキュリティというよりも保険という意味で有効な

4.BackWPup

https://wordpress.org/plugins/backwpup/ 

このプラグインはWebサーバーの中にあるホームページ全体のバックアップを簡単に取得できます。
手動でも、スケージュールを組んで定期的にもバックアップを取ることができ、Dropboxなどの外部サービスなど、保存場所を選べるのでFTPを繋がなくてもバックアップを取得できます。
最近のレンサバはバックアップ機能を備えたものも多いですが、保険として設定しておくのもいいかもしれません。


まずは基本的な所をしっかり設定した上で上記のようなプラグインの力を借りて安全なサイト運営を行いましょう。

  • シェアする
  • このエントリーをはてなブックマークに追加

RELATED