WordPress セキュリティプラグイン Solid Security (旧名 iThemesセキュリティ)

Last Updated: 2023 年 10 月 23 日 10のコメント

"WordPress ベストセキュリティプラグイン「でWordfence Securityを含む人気 WordPressセキュリティプラグインを簡単に紹介しています。

このブログには特別なセキュリティプラグインやスパム関連のプラグインがインストールされていませんが、たまにマルウェアやハッキングのために被害を受けるサイトに触れてみるとセキュリティにとても気になりますね。 だから Solid Security (旧名 iThemesセキュリティ)というプラグインをインストールしてみました。

[この記事は更新されましたiTheme■ Security プラグインのインタフェースを反映して、新しく作成して再発行しました。 ]

WordPress セキュリティプラグインSolid Security(ライフネス「iThemes Security")

WordPress セキュリティプラグイン

iTheme■SecurityはWordfence Securityプラグインよりも軽いという評価があり、このブログにしばらくインストールして使用しました。 特に iThemes Security Pro バージョンを購入して利用しました。 今考えてみると、一般ブログサイトの場合、あえてProバージョンまでは必要ないようです。 プロバージョンでは、自動的にマルウェア(マルウェア)をスキャンして報告する機能があるので、このような機能を望む場合は考慮することができます。

この記事を書いた後、このセキュリティプラグインのインタフェースが大幅に変更されました。 しかし、UIが変わっても機能自体は同じです。

iTheme■Securityプラグイン機能(新バージョン)

iTheme■ Security プラグインをインストールして有効にした場合 Security> Settingsに進み、セットアップウィザードを完了させます。 このプラグインが提供するオプションをXNUMXつずつ見てみましょう。

Features > Login SecurityTwo-Factor(2段階認証) 機能を有効/無効にできます。

WordPress セキュリティプラグインiThemes Security - 新しいインターフェース

Lockoutsセクションでは Local Brute Force(ローカル無差別代入攻撃)Network Brute Force(ネットワーク無差別代入攻撃) ブロック設定を行うことができます。

WordPress セキュリティプラグインiTheme■セキュリティ

セットアップウィザードを完了したら ユーザーを禁止 項目が追加で表示されます。 これにより、特定のIPアドレスまたはUser Agentがサイトにアクセスできないようにブロックできます。

ユーティリティ セクションでは、強制的にSSL / TLSを介してサイトがロードされるようにする Enforce SSL、手動または自動データベースバックアップをスケジュールする データベースのバックアップは、 セキュリティチェックプロ 設定できます。

WordPress セキュリティプラグインiTheme■セキュリティ

ユーザーグループ タブでは、各ユーザーの役割(管理者、編集者、書き込み、外部必須、購読者など)の設定を行うことができます。 Password Requirements(パスワード要件)では、強力なパスワード(Strong Passwords)を使用するように強制するかどうかを指定できます。

WordPress セキュリティプラグインiTheme■セキュリティ

Configure > Global Settingsでは、iTheme■Securityがブロックしないホストリストを追加できます。

WordPress セキュリティプラグインiThemes Security - グローバル設定(グローバル設定)

ツールセクションでは、いくつかの便利なセキュリティ機能が提供されています。 例えば、 ユーザーIDの変更1でユーザーIDが「1」のユーザーのIDを変更できます。 これは、ユーザーIDが「1」のユーザーが管理者であると仮定して行われるユーザーID 1への攻撃を防ぐためです。

WordPress セキュリティプラグインiThemes Security - ツールメニュー

高機能 セクションでは、追加のセキュリティ対策を行うことができます。 例えば、 PHP ExecutionアップロードでPHPを無効にするを有効にすると、UploadsフォルダでPHPファイルが実行されないように無効にします。

また、 Hide Backendでは、管理者ページのログインアドレスを変更できます。 しかし、 WordPress ログインページのアドレスを変更することは、セキュリティの強化に大きな助けにならないということが最近の結論であるようです。 この機能は使用しても大きな効果はないかもしれません。

WordPress セキュリティプラグインiThemes Security - 高度な機能

iThemes Securityプラグイン機能(旧バージョン)

iThemes Securityには無料機能と有料機能があり、 wordpress.orgから無料のプラグインをインストールして使用できます。 有料プラグイン機能はグレーで表示され、「PRO」というラベルが付いています。

このプラグインをインストールすると、 WordPress 管理者ページ(ダッシュボード)の左側のパネルに「Security」というメニューが追加されます。 「セキュリティ」をクリックすると、さまざまな機能を有効/無効にしたり設定したりできます。

iTheme■セキュリティ WordPress セキュリティプラグイン

1)Security Check

推奨機能と設定を使用するように構成することができます。

2)Global Settings(グローバル設定)

iTheme■ Security の動作を制御するデフォルト設定を構成します。 Configure Settingsをクリックすると、さまざまなオプションを設定することができます。

3)404 Detection(404検出)

404 Detection は、存在しない多くのページにアクセスし、404 エラーの多くが発生したユーザーを監視します。 404検出機能では、短時間で多くの404のエラーが発生するユーザーは何か(おそらく脆弱性)を調べていると仮定してこれらのユーザーをブロックします。 この機能はまた、サイトの目に見えない部分で404エラーを引き起こす隠された(露出していない)問題を見つけるのに役立つ追加の利点を提供します。 すべてのエラーは「View Logs」ページに記録されます。

4)Away Mode

ほとんどのサイトでは、一日の特定の時間にのみ更新されるため、24日XNUMX時間年中無休で WordPress ダッシュボードにアクセスする必要がありません。 このオプションを使用すると、指定した期間中に WordPress ダッシュボードにアクセスできないようにすることができます。 この機能を使用すると、攻撃者への曝露を制限するだけでなく、授業やその他の理由のスケジュールに基づいてサイトへのアクセスを無効にすることができ、役に立つことができます。

5)Banned Users

特定のIPアドレスとユーザーエージェントがサイトにアクセスできないようにブロックします。

6)Local Brute Force Protection

ブルートフォース攻撃(Brute Force Protection)からサイトを保護します。

iTheme■セキュリティ WordPress セキュリティプラグイン

7)Database Backups

サイトのDBのバックアップを作成します。 バックアップは手動で作成したり、スケジュールに基づいて生成することができます。

8)File Change Detection(ファイルの変更を検出)

予期しないファイルの変更を監視します。

9)File Permissions

サイトの主な領域のファイルとディレクトリパーミッション(権限)を確認することができます。

10)Network Brute Force Protection

Local brute force protectionは、サイトへのアクセスを試みだけ監視して、ローカルで指定したブロックルールに基づいてユーザーをブロックします。 Network brute force protectionはLocal brute force protectionからステップひいては他のサイトに侵入しようと試みたユーザーがサイトにアクセスできないように遮断する機能です。

11)SSL

ブラウザとサーバ間の通信が安全であるようSSLを使用する構成します。

12)Strong Password Enforcement

ユーザーが強力なパスワード(パスワード)を使用して、弱いパスワードを使用しないようにします。

iTheme■セキュリティ WordPress セキュリティプラグイン

13)System Tweaks

サイトのサーバーの構成(server config)を変更して、セキュリティを向上させる高度な機能

14) WordPress Tweaks

기본 WordPress 行動を変更して、セキュリティを向上させる高度な設定

15) WordPress 塩

サイトのセキュリティを強化するため WordPressが使用するシークレットキー(秘密鍵)を更新します。

Malware Scan Scheduling(マルウェアスキャン予約) 等以外の機能は、PROバージョンでのみ使用可能です。

最後に、

総合的なセキュリティ機能を提供するセキュリティプラグインは、重いので、サイトに負担になることがあります。 そのような場合、日中は無効にして、夜にのみ有効にする方法も考えてみることができるようになります。

これらのセキュリティプラグインのインストールに加えて WordPress コアファイル/テーマ/プラグインを常に最新の状態にして、定期的にバックアップを行うと、セキュリティに役立つことができ、万が一の事態が発生しても、簡単に復元することができます。

追加:

このブログには、現在の iTheme■セキュリティプロ(Bloggerバージョン)がインストールされています。 2段階認証プロセスと毎日マルウェアをスキャンする機能を除いて、通常の場合は無料版を使用しても問題ありません。

※アップデート:iThemes Securityプラグインの代わりにBBQというファイアウォールプラグインをインストールしました。 iTheme■ Security と Wordfence Security は包括的なセキュリティプラグインで、機能が豊富ですが、サイトに負担をかける可能性があります。 セキュリティをさらに強化したい場合は、WordfenceまたはiTheme■ Securityがより効果的ですが、軽量のセキュリティプラグインが必要な場合は、BBQなどのプラグインを検討してください。

メモ:


10のコメント

コメント

  1. 今日はセキュリティプログラムを敷いていましたが、ベーシックでは設定することはありませんが、そのままにしておけばいいですか?

    応答
  2. こんにちは。 ithemes security をインストール後 ssl 証明書 インストール後 http から https にリダイレクトされていたものが http で接続した場合、セキュアでないと表示される現象が発見されました。

    だから私themes security を無効にすると、再び正常に https にリダイレクトされる状態です。

    WordPress 始まってから一週間の初心者です。
    何を修正すれば、再び正常にhttpに接続してもhttpsにリダイレクトになることができるかどうかを見ることができますか?

    応答
  3. 新規サイトへTheme■ Security を敷いたところ、しばしば Site Lockout Notification が発生します。
    ログには「あまりにも多くの間違ったログイン試行」と言ってそのIPをブロックしましたが、別のIPでまたロックがかかりますね。

    このような場合は、IPブロックのほか、他の方法はないですか?

    応答
  4. 私はGoogleウェブマスターツールでrobots.txtファイルを検出できないという問題が表示され、「Banned Users」機能が無効になりました。 robots.txtに関する問題が表示された場合は、この機能を無効にしてテストしてください。

    https://www.thewordcracker.com/basic/%EA%B5%AC%EA%B8%80-%EC%9B%B9%EB%A7%88%EC%8A%A4%ED%84%B0%EB%8F%84%EA%B5%AC%EC%97%90%EC%84%9C-robots-txt-%ED%8C%8C%EC%9D%BC%EC%9D%84-%EA%B0%90%EC%A7%80%ED%95%98%EB%8A%94-%EB%AA%BB%ED%95%98%EB%8A%94/

    応答
  5. iTheme■セキュリティ WordPress セキュリティプラグインの場合、Logsセクションで、次のようなデータを確認することができます。

    Invalid Login Attempts(無効なログインの試み)
    404 Errors Found(404エラー)
    Malware Scan(マルウェアのスキャン)

    詳細については、別の記事で説明したので、参考ください:

    https://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/

    応答