wordpressセキュリティ対策wordpressプラグイン,iThemes Security
iThemes Securityプラグインは、wordpressの脆弱性のチェックや攻撃から守るための防御機能が備わってします。
※iThemes Securityプラグインはオプションとして有料の機能がありますが、無料の機能でも十分セキュリティ対策ができます。
iThemes Securityプラグインのインストール方法
(1) wordpressの管理画面より「プラグイン」→「新規追加」をクリックします。
(2) 「プラグイン追加」画面のキーワード欄に「iThemes Security」と入力します。
すると、関連するプラグインが表示されます。
(3) 「iThemes Security WordPress Backup Plugin」の「いますぐインストール」ボタンを押下します。
(4) インストールが完了すると「有効化」のボタンが表示されるので「有効化」のボタンを押下します。
これでインストールは完了しました。
iThemes Securityプラグインの設定方法
wordpressの管理画面より、「設定」→「セキュリティ」をクリックします。
iThemes Securityの画面
無料で使えるの機能は以下のとおり。
- セキュリティチェック
- 全体設定
- 通知センター
- ユーザーグループ
- 404の検出
- 退席中モード
- 禁止ユーザー
- データベースのバックアップ
- ファイル変更の検出
- ファイルのパーミッション
- ローカルのブルートフォース保護
- ネットワーク・ブルートフォース保護
- パスワード要件
- SSL
- システムの微調整
- WordPress のソルト(暗号化する際に付与されるデータ)
- WordPress の微調整
セキュリティチェック
(1) 「詳細を表示」ボタンを押下します。
(2) 「Secure Site」ボタン押下します。
(3) 黄色文字がワーニングで、赤文字がエラーになります。
(4) http://~でアクセスが可能であるため、https://~にリダイレクトをお勧めします。と言う内容です。
「Your site supports SSL. Redirecting all http page requests to https is highly recommended as it protects login details from being stolen when using public WiFi or insecure networks.」
ここで、「Redirect HTTP Requests to HTTPS」ボタンを押下します。
「あなたのサイトは現在、httpのページリクエストをhttpsにリダイレクトしています。」ということで、http://~でアクセスしてもhttps://~に変換されるセキュリティ対策が完了しました。
(5) 「ネットワーク・ブルートフォース保護により、このサイトは iThemes セキュリティを実行している他のサイトで見つかった攻撃からも保護されます。このサイトが新しい攻撃を識別した場合、自動的にネットワークに通知することで他のサイトも同様に保護します。このサイトでネットワークへ参加し保護を有効化するには、下のボタンをクリックしてください。」
ここで、「ネットワーク・ブルートフォース保護を有効化」ボタンをクリックします。
「現在サイトは、ネットワーク・ブルートフォース保護を使用しています。」セキュリティ対策が完了しました。
(6) 一番最後の「Invalid IP returned(無効なIPが返されました。)」はすいません、意味が分からないので調べさせてください。
(7) 「閉じる」ボタンで「セキュリティチェック」画面を終了させてください。
全体設定
デフォルトの設定で良いため、操作不要です。
通知センター
デフォルトの設定で良いため、操作不要です。
ユーザーグループ
デフォルトの設定で良いため、操作不要です。
404の検出
自動的に悪意あるユーザーからページ周辺のスヌーピング(情報の傍受)をブロックするために「有効化」ボタンを押下します。
設定値はデフォルトの設定で良いため、操作不要です。
※「有効化」ボタンを押下します。
退席中モード
退席中モードにすると指定した時間以外はwordpressの管理画面が使用できないため「有効化」にはしません。操作不要です。
禁止ユーザー
サイトへのアクセスを特定の IP アドレスとユーザーエージェントでブロックします。こちらはすでに「有効化」になっているので操作不要です。
データベースのバックアップ
【注意】データベースのバックアップは別でバックアップを取得しているので必ず「無効化」ボタンを押下してください。
※このバックアップ機能は評判が良くないため。
バックアップについては「wordpressの自分ブログのデータが改ざん、破壊した場合を考慮してバックアップでセキュリティ対策」をご覧ください。
※無効化ボタンを押下します。
ファイル変更の検出
この機能は、wordpressのファイルの更新やプラグインの更新でも「ファイル変更の検出」を行うため「有効化」にはしません。操作不要です。
ファイルのパーミッション
デフォルトの設定で良いため、操作不要です。
ローカルのブルートフォース保護
デフォルトの設定で良いため、操作不要です。
ネットワーク・ブルートフォース保護
デフォルトの設定で良いため、操作不要です。
パスワード要件
すでに考慮されたパスワードが設定されているため、操作不要です。
SSL
SSLについては既に設定済みの為、操作不要です。
システムの微調整
他の機能に影響がある可能性があるため、操作不要です。
WordPress のソルト(暗号化する際に付与されるデータ)
WordPressサイトのログインを保護する暗号化ツールですが、wordpressにログインする前に「ベーシック認証」をしているので、操作不要です。
ベーシック認証については「ベーシック認証をかけて、セキュリティの強いwordpressサイトにする(エックスサーバー)」をご覧ください。
WordPress の微調整
デフォルトの設定で良いため、操作不要です。
iThemes Securityプラグインでセキュリティ対策のまとめ
いろいろなセキュリティ機能があり、機能によってはガチガチのセキュリティにした場合wordpressに不具合が発生する場合があるため、設定しなかった機能もあります。
最低限必要なセキュリティ機能を盛り込みました。
必要な設定があれば、このブログでご説明いたします。
もし、wordpressのセキュリティ対策で悩まれている方はこちらの一覧をご覧ください。