WordPressブログのセキュリティでこれだけは設定したいもの

ワードプレスのセキュリティ設定
スポンサーリンク

ワードプレスでブログをスタートする人は多くなったと思います。カスタマイズが色々できて自由に好きなサイトを作れる魅力は大きいですよね。

しかし、ただ始めただけで一切セキュリティ対策を行っていないサイトもあったりします。そういったサイトは乗っ取りの危険性があることを十分に警戒するべきです。

この記事では、ワードプレスでサイトを作り始めた際にやっておいた方が良い設定やセキュリティプラグインについて記載します。

こんな人におすすめ

・WordPressのブログを始めた
・セキュリティ設定を行いたい

セキュリティプラグイン

プラグインは多く入れすぎると競合の心配や、サイトが重くなりすぎることを心配して使っていない人もいるかと思います。

ここでは必要最低限のものをお伝えしますので、ぜひ設定を行ってみましょう。

ちなみに今回紹介するプラグインはダッシュボードから直接検索できます。「プラグイン」項目にある「新規追加」から以下のプラグインを検索してください!

プラグインの追加場所

SiteGuard WP Plugin

安全に配慮するサイトで、ほぼ使用されているであろうプラグイン「SiteGuard WP Plugin」です。何より無料でありながら高機能、使い方も難しくないものなのでおすすめです。

※XFREEなどの無料サーバーでは、こちらのプラグインを有効化するとうまくログインできなくなるという現象があるようです。無料サーバーの場合は事前にプラグインが使えるか、必ず確認しましょう!

SiteGuard WP Plugin

検索して上のものが出てきたら、「今すぐインストール」を行いその後に出てくる「有効化」まで済ませます。

有効化後

有効化後はログインURLが変更になるので、必ずブックマークを行いましょう。また、有効化を行うと、ダッシュボードのメニューに以下の項目が出ると思います。

セキュリティ項目

項目内からさらに「ログインロック」を選択して、以下の設定を行いましょう。

期間:30秒
回数:3回
ロック時間:5分

理由なのですが、このサイトに対して行われた不正ログインアクセスの履歴を見ると、大体数十秒の間で2回以上5回以下の回数で攻撃が行われていたことが判明しました。

回数が10回などの設定だと、攻撃者に対して多くのチャンスを与えてしまうことになるので、ぜひ回数は少ない回数に設定しましょう。

Edit Author Slug

上のプラグインと合わせて使いたいのが「Edit Author Slug」です。こちらはログインに必要なユーザー名の割り出しを、ある程度阻止してくれるプラグインです。

インストールと使い方は以下の記事にまとめています。

Really Simple SSL

こちらはサイトのSSL化を簡単に行ってくれるプラグインです。SSL化が済んでいるかは、サイトのURLの頭部分が「http:」から「https:」に変わるので確認しやすいかと思います。

SSLは簡単に言うと、サイトの通信が暗号化されているかどうかについてです。サイトのURLが「https:」の場合はサイトとのやりとりが暗号化され、他者からその内容を簡単に読み取ることをできなくします。

これは、サイト運営者のセキュリティーというよりも、サイト訪問者が安心してそのサイトを使えるかに関わってくる設定だと思ってください。

これが行われていないサイトでは「安全ではありません」のような警告が表示されたりするので、訪問者が落ち着いてサイトを見ることができなくなるというデメリットがあります。ぜひサイトのSSLは行うようにしましょう。

SSLの変更にはこういったプラグインの他に、レンタルサーバーの場合サーバーごとに設定があるので、契約サーバーの変更方法に従い設定してください。(レンタルサーバー名 + SSL化 で検索すると方法は大体出ます)

設定後にワードプレスの変更はこのプラグインで一気にできます。

※設定後に確認のマークがで続ける場合は、以下のように設定を変更して保存してみてください。多くの場合確認マークは消えます。

設定の確認

おすすめの設定

サイト運営を考える上で、おすすめする設定についてはこちらです。

通知 (ピンバック・トラックバック) のOFF 

ピンバックの機能は、他のブログからの通知を受け取るための機能です。リンクを使ってもらったりすると通知を受け取ることができるのですが、これを悪用しスパム系の通知が多くくることがあります。

正直ほとんど必要ない機能のため、デフォルト設定をOFFにしてしまって問題ないと思います。

設定項目は「設定」の「ディスカッション」にあります。「新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける 」の項目のチェックを外して画面下までスクロールし変更を保存します。

最後に

今回ここに書いたものは、本当に必要最低限のものだけです。サイトの安全性確保のために、できることは早めに対応するようにしましょう。

ちなみにこのサイトが攻撃を受けたのは、サイト立ち上げから一ヶ月ほど、しかも1日当たりのPV数なんてほとんど0という段階のときでした。

その時の記事も一応おいておきます。

サイトの乗っ取り被害にあうと、最悪の場合サイトが停止されたりする可能性もあるので、セキュリティー対策がまだの方は早めに対応しておきましょう。