All In One WP Security & Firewall(プラグイン)の設定方法と使い方を解説!

この記事ではAll In One WP Security & Firewallの設定方法と使い方について解説していきます。

ログイン画面のURL変更やファイヤーウォールなど色々な防御策が簡単に設定できますよ。

WordPressのセキュリティを高めたい方は是非参考にしてみて下さい!

カツオ
カツオ

この記事、長くなりますので要点です↓

All In One WP Security & Firewallを使って少なくとも

  • 設定
  • ユーザーログイン
  • ファイアウォール
  • 総当たり攻撃
  • その他

は設定してセキュリティを高めておきましょう。

後は自分の状況に合わせてお好みで!

カッパ君
カッパ君

内容に入っていきます!

プラグインAll In One WP Security & Firewallとは?

All In One WP Security & Firewall

All In One WP Security & Firewallとはワードプレスのセキュリティを高めてくれるプラグインです。

簡単な設定でWordPressブログのセキュリティを高める優れもの。

ただし、設定項目が色々あり、初心者の方が「とりあえずこの機能も使ってみよう感覚」で意味を理解せずに使っていると危険!

突然画面が白くなったり、ログインできなくなったりするので以下で説明している部分から徐々に設定していきましょう!

カツオ
カツオ

ちなみに僕は画面が白くなったり、ログインできなくなった経験者です。

All In One WP Security & Firewallの設定方法と使い方を解説!

All In One WP Security & Firewallの設定方法と使い方について以下説明していきます。

このプラグインはかなり設定できる項目が多いですが、全部設定してしまうと場合によってはブログが真っ白になってしまう事もある(※)ので必要に応じて自分なりに理解しながらセキュリティを高めていく。

という使い方が良いでしょう。

※「データベースセキュリティ」の「データベース接頭辞を変更」でブログがおかしくなった事がありますが、バックアップを取っておけば平気です。また、接頭辞を元に戻すと僕の場合は直りました。

All In One WP Security & Firewallをインストールして有効化すると、ダッシュボード画面の左側に「WP セキュリティ」という選択肢が出来るので、そこから設定していきます。

WP セキュリティ

設定できる選択肢としては

  • ダッシュボード
  • 設定
  • ユーザーアカウント
  • ユーザーログイン
  • ユーザー登録
  • データベースセキュリティ
  • ファイルシステムセキュリティ
  • ブラックリストマネージャー
  • ファイアウォール
  • 総当たり攻撃
  • スパム防止
  • スキャナー
  • メンテナンス
  • その他

と沢山ありますが、前述したように全て完璧に設定する必要はないと思います。

自分の状況に合わせて設定していきましょう。

カッパ君
カッパ君

この記事で解説するのは黄色マーカーで色を付けた部分だからねー

ちなみにダッシュボード画面では設定した項目をポイント化して、セキュリティのレベルをグラフと点数で見せてくれます。

ダッシュボード画面

では今から

  • 設定
  • ユーザーログイン
  • ファイアウォール
  • 総当たり攻撃
  • その他

の設定について説明していきますね!

設定

設定

設定ではいくつかのタブを選択出来るようになっていますが、その中で「WP バージョン情報」というタブを選択し、「WP Generator メタ情報の削除」にチェックを入れましょう。

ここにチェックを入れるとワードプレスのバージョンを隠す事が出来ます。

どういう事かと言うと、ワードプレスはデフォルトではソースコード上に現在のバージョンを表示するようになっています。

それは悪い人にしてみれば「私はこのバージョンのワードプレスを使っています=こんな弱点があります」と宣言してる事になり、セキュリティ上大問題。

ワードプレスのバージョンを隠す事でセキュリティをかなり強化する事が出来るのです。

ユーザーログイン

ユーザーログイン

「ログインロックダウン機能を有効化」にチェックを入れる事で、ここで設定するセキュリティ機能が有効になりますので、チェックを入れましょう。

「ロック解除リクエストを許可」にチェックを入れると、誰かがログインに失敗してロックアウトされた時に、管理者に「ロックアウト解除願い」を出す為のリンクが、そのロックアウトされてしまった人に送られます。

「最大ログイン試行回数」はログインするのにトライ出来る回数です。

「ログイン再試行時間 (分)」はログインするのにかけていい時間です。(単位は分)

「ロックアウト時間の長さ (分)」はログインに失敗した時にロックアウトされる時間の長さですね。(この時間が過ぎるとまたログイン施行出来るようになります)

「一般的なエラーメッセージを表示」にチェックを入れると、ログインに失敗した時に通常のエラーメッセージが返されるようになります。

「ただちにロックアウトする無効なユーザー名」にチェックを入れると登録されていないユーザー名を入力した瞬間にログイン失敗となります。

「特定のユーザー名を即座にロックする」に入力したユーザー名は入力したら、その瞬間にログイン失敗となります。

「メールで通知」にチェックを入れると、誰かがログイン失敗した時にメールで通知が来るようになります。

ここは項目が沢山あり、どこにチェックを入れるか迷う部分もあります。

基本的には黄色マーカーで記した項目にチェックを入れ(数値を入力し)、後はご自身の状況に合わせて試してみるのが良いでしょう。

ユーザーログインではタブもかなり沢山あり、多岐にわたってセキュリティチェック出来ますが、「アカウント利用ログ」では自分のブログにログインしたユーザー名やIPアドレスが一覧でチェック出来るので時々チェックして、怪しい人がログインしていないか見ておきましょう。

ログインに失敗した履歴も表示されますので、沢山失敗している履歴がある時は不正アクセスしようと何度もチャレンジしたという事が疑われます。

ファイアウォール

ここではファイヤーウォールについて設定が出来ます。

(ファイヤーウォールとは不正なアクセスからサイトを守る為の防御壁の事です。)

設定方法は下記の通りになります。

ファイアウォール

タブがいくつかありますが、とりあえず「基本のファイアウォール規制」を選択します。

「基本的なファイアウォール保護を有効化」にチェックを入れるとファイヤーウォール設定が有効になりますので、チェックを入れておきましょう。

「XML-RPC へのアクセスを完全にブロック」「XML-RPC のピンバック機能を無効化」には両方チェックを入れましょう。

※XML-RPC機能というのは管理画面からログインしなくてもワードプレスに入れる機能で、便利な反面リスクがあります。ここではXML-RPC機能を遮断するようなファイアウォール設定をしていますが、不具合があればチェックを外してください。

総当たり攻撃

総当たり攻撃ではブルートフォースアタックへの対策が出来ます。

ブルートフォースアタックとは一言で言うと「片っ端から試しまくって不正ログインしようとするもの」であり、

  • あらゆるユーザー名
  • あらゆるパスワード

で、ログインにトライしまくります。

僕自身、おそらくですが、あるブログがこの被害に遭いそうになりました。(幸い、全部失敗しており、ログインはされませんでしたが…)

WordPressのログインページは実は定型的に決まっています。

自分のブログのドメイン/wp-login.php

これがWordpressブログのログインページのURLですね。

僕のブログだったら以前はhttps://○○○○.com/wp-login.phpがログインページのURLでした。

カツオ
カツオ

今のログインページのURLは違いますけどね。想像もつかないURL。

設定方法について以下解説していきます。

総当たり攻撃

総当たり攻撃の「ログインページの名称を変更」のタブを選択し、「ログインページの名前変更機能を有効化」にチェックを入れます。

「ログインページ URL」では「自分のブログのドメイン/」に続く文字列を入力します。(これがログインページのURLになります。)

ブログのログインページのURLを変える事で、悪い人達にとっては「そもそもブログのドメインページにたどり着けない」という事になり、セキュリティが高まります。

ダッシュボード画面の「ユーザー」でワードプレスのユーザー表示名も変えておきましょう。

ユーザー名がそのままだとワードプレスログイン画面で入力するユーザー名をそのまま公開している事になりますので危険です。

その他

その他

その他では「ユーザー番号」のタブを選択し、「ユーザー番号を無効化」にチェックを入れておきましょう。

ワードプレスではユーザー名は簡単に分かってしまうのですが、それを防ぐ為の施策になります。

All In One WP Security & Firewallで注意する事。

All In One WP Security & Firewallの設定で注意すべき点を述べていきます。

データベースセキュリティ

データベースセキュリティについてですが、設定した方がセキュリティは高まるのでしょうが、サイトがおかしくなる事があるので、不安なら触らない方が良いです。

ちなみに僕はここを設定したらサブディレクトリを使用しているサイトで不具合が起こった事があります…

メンテナンス

ここで「フロントエンドのロックアウト有効化」という箇所にチェックを入れているとブログが外部から見る事が出来なくなります。

ダッシュボード画面は普通に見る事が出来るので、場合によっては気が付くのが遅くなります…

僕はこれでかなりの機会損失をしてしまった経験があるので、一応気を付けた方がいいでしょう。

この記事のまとめ。

All In One WP Security & Firewallの設定方法について述べてきました。

ここでご紹介したのは設定できる機能の内のほんの一部で、他にもまだまだたくさんのセキュリティ施策が可能です。

しかし、よく理解せずにAll In One WP Security & Firewallでセキュリティを高めまくってしまうと、自分がサイト運営をしにくくなってしまったり、予期せぬエラーが発生したりする場合も…

その事に注意しつつ有効利用し、快適なブログライフを送ってくださいね。

という事で今回の内容は以上です。

カツオ
カツオ

最後までお読み頂きありがとうございます!

コメントはお気軽にどうぞ(承認制なので誹謗中傷は削除されます)

five × one =