All In One WP Security & Firewallは、サイトのセキュリティを飛躍的に高めてくれるプラグインです。
でも項目がありすぎて、どれを設定したらよいか分かりにくいです。
これからご紹介する内容は、
これだけは設定しておくべきというやり方を、画像付きでご紹介しています。
ぜひご参考にしてみてください。
All In One WP Security & Firewallの設定は、サイトに重大な支障をきたす場合があります。
テストサイトで試すか、必ずバックアップを取ってからお試しください。
ユーザー名とニックネーム分ける
ユーザー名が第三者にバレるということは、ログインするときに必要な手がかりを与えていることになります。
デフォルト設定では、ユーザー名がサイトに表記されていますにで、必ず違う名前に変更しましょう。
設定方法
User Accounts
↓
Display Name
↓
3番の所に自分のユーザー名が表示されるのでクリック
下記の画面へ自動的に飛びます。
ニックネームをユーザー名とは違う名前に変更します。
↓
画面下部の『プロフィールを更新』をクリック
WordPressのバージョン情報を非表示にする
WordPressは都度バージョンアップしています。
もし古いバージョンを使っている場合、不特定多数の人に知られるのは、セキュリティ上よろしくありません。なのでこの設定でバージョン情報を削除しちゃいましょう。
設定方法
setting
↓
WP Version info
↓
WP Generator Meta Info
↓
Remove WP Generator Meta Info:□にチェック
↓
Save Setteing
これでhead内のバージョン情報は削除されました。削除されたといっても、サイト上で表示されなくなっただけで、ソース内には記載されています。
ログインのロックダウンを設定する
不正なログインをブロックするための設定です。
設定した回数ログインに失敗すると、そのIPアドレスは一定時間ログイン禁止になります。
設定方法
User Loginをクリック
↓
Enable Login Lockdown Feature:□にチェックを入れる
↓
Max Login Attempts:
最大ログイン回数を設定します。
私は3回に設定しています。
↓
Login Retry Time Period (min):
ログイン再試行できるまでの時間を設定します。
推奨は5分ですが、私は60分に設定しています。
↓
Time Length of Lockout (min):
ログイン禁止の時間を設定します。
推奨は60分ですが、私は240分ログインできないように設定しています。
↓
Instantly Lockout Invalid Usernames:
登録していない、身に覚えのないユーザー名でのログインは即時ログイン禁止にします。
↓
Notify By Email:
ログイン禁止になった場合、登録メールアドレスへお知らせしてくれます。
↓
Save Setting
PHPファイルを編集できないようにする
WordPressの管理画面から、PHPファイルを編集できないようします。
WordPressに不正アクセスされた場合、PHPが狙われます。なのでWordpressのダッシュボードからPHPを編集できないように設定します。
※これを設定すると、自分もダッシュボードからPHPを編集出来ません。
編集するときはこの設定を無効にしてください。
設定方法
Filesystem Securityをクリック
↓
PHP File Edithing
↓
Disable Ability To Edit PHP Files:□にチェックを入れる
WordPress管理画面からのPHP編集を無効にする
↓
Save Setting
デフォルトのWordpressファイルへのアクセスを禁止にする
この機能により、
すべてのWPインストールで提供されているreadme.html、license.txt、wp-config-sample.phpなどのファイルへのアクセスを禁止することができます。
これらのファイルへのアクセスを防止することにより、潜在的なハッカーからの重要な情報(WordPressのバージョン情報など)が隠れてしまいます。
設定方法
Filesystem Securityをクリック
↓
WP File Access
↓
Prevent Access to WP Default Install Files:□にチェックを入れる
デフォルトファイルの
readme.html、license.txt、wp-config-sample.phpへのアクセスを禁止する。
↓
Save Setting
ファイヤーウォールの設定
WordPressではXMLRPCが狙われやすいため、これらを保護しておく必要があります。
設定方法
Fire Wallをクリック
↓
Basic Firewall Rules
↓
Enable Basic Firewall Protection:□にチェックを入れる
↓
※どちらか片方を選択
外部投稿機能を利用していない方はこちらを選択
Completely Block Access To XMLRPC:
Jetpackなどで外部投稿機能を使っている方はこちらを選択
Disable Pingback Functionality From XMLRPC:
↓
Save Setting
6Gファイアウォール保護を有効にする
サイトに次のような6Gセキュリティファイアウォール保護メカニズムが実装されます。
1)悪用された攻撃で一般的に使用される禁止文字をブロックする。
2) “.css(”文字列。
3)標的とされたURLのルート部分の共通のパターンと特定の悪用を防ぎます。
4)攻撃者が不正な文字を許可しないようにして、クエリ文字列を操作しないようにする。
正直詳しく理解できていませんが、ONしておいた方が良さそうかなと思って有効にしています。今のところ支障は出ていないので設定しているというレベルです。
設定方法
前STEPと同じFirewallの画面
↓
6G Blacklist Firewall Rulesをクリック
↓
Enable 6G Firewall Protection:□にチェックを入れる
↓
Save 5G/6G Firewall Settings
ブルートフォースアタックを防ぐ
ブルーとフォースアタックとは、総当たり攻撃と呼ばれています。
パスワードは何百万回と試行されてしまうといつかは突破されてしまいます。
これまでロックダウンの設定などで、セキュリティは飛躍的に上がりました。
そして更にセキュリティを高めるため、
“ログインの入口となる部分を隠してしまう”というのがこれから行う設定です。
※注意※
この設定では、自分のURLの後ろにアルファベットで文字列を追加します。
この設定を行ったあと、今までのURLでサイトにログインしようとしてもログイン出来ません。
今までのURLと、今回作った新しい文字列を入力すると、Wordpressのログイン画面へ辿り着きます。
なので必ずメモを取って忘れないようにしてください。
ここまで読んで不安という方は、この設定はしなくても大丈夫です(*^_^*)
◆https://123456/abcde/
◆http://123456/○○/abcde
※ディレクトリの中にフォルダを作って、そこにWordpressを入れている人は○○にフォルダ名が入ります。
設定方法
Brute Forceをクリック
↓
Rename Login Page Setting
↓
Enable Rename Login Page Feature:□にチェックを入れる
↓
Login Page URLに任意のURLを入力する
↓
Save Setting
↓
次回からログインするときは、毎回下記のように入力してください。
自分のURL/追加したURL/
All In One WP Security & Firewallの注意点
All In One WP Security & Firewallの設定で、あれもこれもチェックを入れて機能を有効にするのは止めた方がよいです!それが原因で、私のサイトはひとつこの世から無くなりました。
恐らくブルートフォースの設定をあれもこれも設定したことが原因です。
自分のIPだけ許可したつもりが、私もサイトにログインできなくなってしまったのです。
闇雲に設定するのは危険ですので、
コメント
[…] All In One WP Security & Firewallのおすすめな設定方法 […]