xserverによるwordpressセキュリティ設定

wordpressセキュリティ対策xserver

xserverの機能の一つとして「wordpressセキュリティ設定」があります。
このセキュリティ設定は、国外IPアドレスからの接続を制限したり、パスワード総当り(ブルートフォースアタック)による第三者のログインを防止するなど、不正なアクセスに対するセキュリティを強化する機能で、以下の3つの制限が設定できます。

  • 国外IPアクセス機能制限
  • ログイン試行回数制限
  • コメント・トラックバック制限設定

xserverのサーバー管理画面より簡単に設定できます。
上記機能を見ていきましょう。

国外IPアクセス機能制限

国外IPアクセス機能制限には以下の4つの制限が設定できます。

ダッシュボード アクセス制限

国外IPアドレスの攻撃からwordpressのダッシュボード(管理画面)のアクセスを制限します。
基本的に私たちは国内(国内のIPアドレス)でwordpressのブログを管理しているので、国外IPアドレスからのアクセスをさせない機能になります。
必ず「ON(有効)」に設定します。

アクセスが制限される箇所と制限する効果

/wp-admin … 管理画面に関するファイルを格納するディレクトリでダッシュボードにアクセスできない。
/wp-login.php … wordpressのダッシュボード(管理画面)にログインできません。

worpressにログインできなく、ダッシュボード(管理画面)の機能が使えないことになります。
worpressブログの改ざんなどを防止します。
国内IPアドレスからの攻撃は防げません。これについては別の機能で防ぎます。

XML-RPC APIアクセス制限

XML-RPC APIとは、wordpressのダッシュボードにログインせずにスマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードの為に利用する機能です。
個人でブログを運用されている方はセキュリティリスクを排除するために無効にした方が良いです。
国外IPアドレスからXML-RPC APIへのアクセスを制限するため必ず「ON(有効)」に設定します。

アクセスが制限される箇所と制限する効果

/xmlrpc.php … WordPressと他のシステム間の通信を使用不可にします。

REST APIアクセス制限

REST APIとは外部から簡単に投稿記事のデータを作成したり、更新、取得、削除といった操作が可能になる機能です。
wordpressに詳しくない方には「REST API」の機能は不要です。そのため国外IPアドレスからの操作を使用不可(アクセスを制限)にするため必ず「ON(有効)」に設定します。

アクセスが制限される箇所と制限する効果

/wp-json … REST APIに対する国外IPアドレスからの接続を使用不可にします。

wlwmanifest.xmlアクセス制限

wlwmanifest.xmlを使用してMicrosoft製のブログ編集ツール(Windows Live Writerなど)でWordPressの編集できるそうです。
このwlwmanifest.xmlを使用して不正アクセスが増加しているそうです。
通常のブラウザからwordpressを使用するひとにはwlwmanifest.xmlは不要のため国外IPアドレスからの接続を不可にするため必ず「ON(有効)」に設定します。

アクセスが制限される箇所と制限する効果
/wlwmanifest.xml … Windows Live Writer利用時に国外IPアドレスからの接続を使用不可にします。

【国外IPアクセス機能制限画面設定例】

ログイン試行回数制限

ログイン試行回数制限機能は、不正アクセスをするために短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。
パスワード総当り(ブルートフォースアタック)による不正アクセスを防ぐために必ず「ON(有効)」に設定します。

【ログイン試行回数制限設定例】

コメント・トラックバック制限設定

トラックバックとは、wordpressの機能の一つで、別のサイトへリンクを張ったとき、リンク先の相手に対してリンクを張ったことを通知することです。
コメント・トラックバックのスパムは国外IPアドレスからが多く、変なWebサイトへ誘導や変な商品を紹介したりする内容である場合が多いです。

  • 大量コメント・トラックバック制限
  • 国外IPアドレスからのコメント・トラックバック制限

両方を制限するのが好ましいため必ず「ON(有効)」に設定します。

【コメント・トラックバック制限設定例】

xserverによるwordpressセキュリティ設定のまとめ

xserverは簡単に上記のwordpressセキュリティ設定が簡単にできます。
他の対策としてはプラグインを利用する方法もありますが、プラグインを利用するとwordpress自体に負荷がかかるので好ましくありません。
xserverによるwordpressセキュリティ設定は信頼性が高く簡単に設定できるので私はこれを利用しています。

もし、今のレンタルサーバーでセキュリティが不安な方は「xserver」の利用の検討をされてはいかがですか。