WordPress セキュリティプラグインiThemes Security - WordPress 情報パッケージ
ベストセラー人気 WordPress テーマTop 30 詳細

WordPress セキュリティプラグインiTheme■セキュリティ

Last Updated:2022年2月1日| 8のコメント
  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

"WordPress ベストセキュリティプラグイン"でWordfence Securityをはじめ人気のある WordPressセキュリティプラグインを簡単に紹介しています。

このブログには特別なセキュリティプラグインやスパム関連のプラグインがインストールされていませんが、たまにマルウェアやハッキングのために被害を受けるサイトに触れてみるとセキュリティにとても気になりますね。 だから iTheme■セキュリティというプラグインをインストールしてみました。

[この記事は更新されましたiTheme■ Security プラグインのインタフェースを反映して、新しく作成して再発行しました。 ]

WordPress セキュリティプラグインiTheme■セキュリティ

WordPress セキュリティプラグイン

iTheme■SecurityはWordfence Securityプラグインよりも軽いという評価があり、このブログにしばらくインストールして使用しました。 特に iThemes Security Pro バージョンを購入して利用しました。 今考えてみると、一般ブログサイトの場合、あえてProバージョンまでは必要ないようです。 プロバージョンでは、自動的にマルウェア(マルウェア)をスキャンして報告する機能があるので、このような機能を望む場合は考慮することができます。

この記事を書いた後、このセキュリティプラグインのインタフェースが大幅に変更されました。 しかし、UIが変わっても機能自体は同じです。

iTheme■Securityプラグイン機能(新バージョン)

iTheme■ Security プラグインをインストールして有効にした場合 Security> Settingsに進み、セットアップウィザードを完了させます。 このプラグインが提供するオプションをXNUMXつずつ見てみましょう。

Features > Login SecurityTwo-Factor(2段階認証) 機能を有効/無効にできます。

WordPress セキュリティプラグインiThemes Security - 新しいインターフェース

Lockoutsセクションでは Local Brute Force(ローカル無差別代入攻撃)Network Brute Force(ネットワーク無差別代入攻撃) ブロック設定を行うことができます。

WordPress セキュリティプラグインiTheme■セキュリティ

セットアップウィザードを完了したら ユーザーを禁止 項目が追加で表示されます。 これにより、特定のIPアドレスまたはUser Agentがサイトにアクセスできないようにブロックできます。

ユーティリティ セクションでは、強制的にSSL / TLSを介してサイトがロードされるようにする Enforce SSL、手動または自動データベースバックアップをスケジュールする データベースのバックアップは、 Security Check Pro 設定できます。

WordPress セキュリティプラグインiTheme■セキュリティ

ユーザーグループ タブでは、各ユーザーの役割(管理者、編集者、書き込み、外部必須、購読者など)の設定を行うことができます。 Password Requirements(パスワード要件)では、強力なパスワード(Strong Passwords)を使用するように強制するかどうかを指定できます。

WordPress セキュリティプラグインiTheme■セキュリティ

Configure > Global Settingsでは、iTheme■Securityがブロックしないホストリストを追加できます。

WordPress セキュリティプラグインiThemes Security - グローバル設定(グローバル設定)

ツールセクションでは、いくつかの便利なセキュリティ機能が提供されています。 例えば、 ユーザーIDの変更1でユーザーIDが「1」のユーザーのIDを変更できます。 これは、ユーザーIDが「1」のユーザーが管理者であると仮定して行われるユーザーID 1への攻撃を防ぐためです。

WordPress セキュリティプラグインiThemes Security - ツールメニュー

高機能 セクションでは、追加のセキュリティ対策を行うことができます。 例えば、 PHP ExecutionアップロードでPHPを無効にするを有効にすると、UploadsフォルダでPHPファイルが実行されないように無効にします。

また、 Hide Backendでは、管理者ページのログインアドレスを変更できます。 しかし、 WordPress ログインページのアドレスを変更することは、セキュリティの強化に大きな助けにならないということが最近の結論であるようです。 この機能は使用しても大きな効果はないかもしれません。

WordPress セキュリティプラグインiThemes Security - 高度な機能

iThemes Securityプラグイン機能(旧バージョン)

iThemes Securityには無料機能と有料機能があり、 wordpress.orgから無料のプラグインをインストールして使用できます。 有料プラグイン機能はグレーで表示され、「PRO」というラベルが付いています。

このプラグインをインストールすると、 WordPress 管理者ページ(ダッシュボード)の左側のパネルに「Security」というメニューが追加されます。 「Security」をクリックすると、さまざまな機能を有効/無効にしたり設定することができます。

iTheme■セキュリティ WordPress セキュリティプラグイン

1)Security Check

推奨機能と設定を使用するように構成することができます。

2)Global Settings(グローバル設定)

iTheme■ Security の動作を制御するデフォルト設定を構成します。 Configure Settingsをクリックすると、さまざまなオプションを設定することができます。

3)404 Detection(404検出)

404 Detectionは存在していない多くのページにアクセスして、多くの404エラーが発生しているユーザーを監視します。 404 Detection機能では、短い時間で多くの404個のエラーが発生し、ユーザーは何である(おそらく脆弱性)を検査していることを前提として、これらのユーザーをブロックします。 この機能は、サイトの目に見えない部分で404エラーを発生させる隠された(認識されない)の問題を見つけることに役立つ追加の利点を提供します。 すべてのエラーは、「View Logs」ページに記録されます。

4)Away Mode

ほとんどのサイトでは、一日の特定の時間にのみ更新されるため、24日XNUMX時間年中無休で WordPress ダッシュボードにアクセスする必要がありません。 このオプションを使用すると、指定した期間中に WordPress ダッシュボードにアクセスできないようにすることができます。 この機能を使用すると、攻撃者への曝露を制限するだけでなく、授業やその他の理由のスケジュールに基づいてサイトへのアクセスを無効にすることができ、役に立つことができます。

5)Banned Users

特定のIPアドレスとユーザーエージェントがサイトにアクセスできないようにブロックします。

6)Local Brute Force Protection

ブルートフォース攻撃(Brute Force Protection)からサイトを保護します。

iTheme■セキュリティ WordPress セキュリティプラグイン

7)Database Backups

サイトのDBのバックアップを作成します。 バックアップは手動で作成したり、スケジュールに基づいて生成することができます。

8)File Change Detection(ファイルの変更を検出)

予期しないファイルの変更を監視します。

9)File Permissions

サイトの主な領域のファイルとディレクトリパーミッション(権限)を確認することができます。

10)Network Brute Force Protection

Local brute force protectionは、サイトへのアクセスを試みだけ監視して、ローカルで指定したブロックルールに基づいてユーザーをブロックします。 Network brute force protectionはLocal brute force protectionからステップひいては他のサイトに侵入しようと試みたユーザーがサイトにアクセスできないように遮断する機能です。

11)SSL

ブラウザとサーバ間の通信が安全であるようSSLを使用する構成します。

12)Strong Password Enforcement

ユーザーが強力なパスワード(パスワード)を使用して、弱いパスワードを使用しないようにします。

iTheme■セキュリティ WordPress セキュリティプラグイン

13)System Tweaks

サイトのサーバーの構成(server config)を変更して、セキュリティを向上させる高度な機能

14) WordPress 微調整

기본 WordPress 行動を変更して、セキュリティを向上させる高度な設定

15) WordPress 塩

サイトのセキュリティを強化するため WordPressが使用するシークレットキー(秘密鍵)を更新します。

Malware Scan Scheduling(マルウェアスキャン予約) 等以外の機能は、PROバージョンでのみ使用可能です。

最後に、

総合的なセキュリティ機能を提供するセキュリティプラグインは、重いので、サイトに負担になることがあります。 そのような場合、日中は無効にして、夜にのみ有効にする方法も考えてみることができるようになります。

これらのセキュリティプラグインのインストールに加えて WordPress コアファイル/テーマ/プラグインを常に最新の状態にして、定期的にバックアップを行うと、セキュリティに役立つことができ、万が一の事態が発生しても、簡単に復元することができます。

追加:

このブログには、現在の iTheme■セキュリティプロ(Bloggerバージョン)がインストールされています。 2段階認証プロセスと毎日マルウェアをスキャンする機能を除いて、通常の場合は無料版を使用しても問題ありません。

WordPress セキュリティプラグインiThemes Security 2

※アップデート:iThemes Securityプラグインの代わりにBBQというファイアウォールプラグインをインストールしました。 iTheme■ Security と Wordfence Security は包括的なセキュリティプラグインで、機能が豊富ですが、サイトに負担をかける可能性があります。 セキュリティをさらに強化したい場合は、WordfenceまたはiTheme■ Securityがより効果的ですが、軽量のセキュリティプラグインが必要な場合は、BBQなどのプラグインを検討してください。

メモ:



8のコメント

コメント

  1. こんにちは。 ithemes security をインストール後 ssl 証明書 インストール後 http から https にリダイレクトされていたものが http で接続した場合、セキュアでないと表示される現象が発見されました。

    だから私themes security を無効にすると、再び正常に https にリダイレクトされる状態です。

    WordPress 始まってから一週間の初心者です。
    何を修正すれば、再び正常にhttpに接続してもhttpsにリダイレクトになることができるかどうかを見ることができますか?

    応答
    • こんにちは? httpからhttpsにリダイレクトする方法として1).htaccessファイルにコードを追加するか、2)プラグイン(Really Simple SSLなど)を使用する方法があります。
      iTheme■Securityにこれに関連する機能があるかどうかを確認してみません。
      .htaccessファイルにコードを追加しておらず、Really Simple SSLなどのプラグインを使用していない場合は、次の記事で紹介するコードを.htaccessファイルに追加して問題が解決するかどうかを確認しますか?

      https://www.thewordcracker.com/miscellaneous/%EB%AC%B4%EB%A3%8C-%EB%B3%B4%EC%95%88%EC%84%9C%EB%B2%84ssl-%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC-%EC%A0%81%EC%9A%A9%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4/

      それでも問題が解決しない場合Theme■Securityの代わりに他のセキュリティプラグインを使用することを検討してください。

      応答
  2. 新規サイトへTheme■ Security を敷いたところ、しばしば Site Lockout Notification が発生します。
    ログには、 "あまりにも多くの無効なログインの試み」として対応するIPアドレスをブロックしたが、他のIPにまたロックかかりますね。

    このような場合は、IPブロックのほか、他の方法はないですか?

    応答
    • こんにちは、バクスンア様。

      ボットによるログイン試行が多い場合Limit Login Attempts Reloadedのようなプラグインを使用してみることができます。

      https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%8B%9C%EB%8F%84-%ED%9A%9F%EC%88%98-%EC%A0%9C%ED%95%9C/

      応答
      • 回答ありがとうございます。
        すでにiThemes SecurityにあるLocal Brute Force Protectionを使用してロギンをブロックしていますが、お知らせいただいたプラグインを追加に設定すると、別途役に立ちますか?

      • iThemes Securityがインストールされている場合は、申し上げたプラグインをインストールしないでください。

        ただし、定期的に必ずバックアップをしていただければいいようです。 (バックアップは常に必須です。笑)

  3. 私はGoogleのウェブマスターツールでrobots.txtファイルを検出することができない問題が現れ、「Banned Users」機能は無効にしました。 robots.txtの問題が表示されたら、この機能を無効にした後、テストしてみてください。

    https://www.thewordcracker.com/basic/%EA%B5%AC%EA%B8%80-%EC%9B%B9%EB%A7%88%EC%8A%A4%ED%84%B0%EB%8F%84%EA%B5%AC%EC%97%90%EC%84%9C-robots-txt-%ED%8C%8C%EC%9D%BC%EC%9D%84-%EA%B0%90%EC%A7%80%ED%95%98%EB%8A%94-%EB%AA%BB%ED%95%98%EB%8A%94/

    応答
  4. iTheme■セキュリティ WordPress セキュリティプラグインの場合、Logsセクションで、次のようなデータを確認することができます。

    Invalid Login Attempts(無効なログインの試み)
    404 Errors Found(404エラー)
    Malware Scan(マルウェアのスキャン)

    詳細については、別の記事で説明したので、参考ください:

    https://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/

    応答