"WordPress ベストセキュリティプラグイン「でWordfence Securityを含む人気 WordPressセキュリティプラグインを簡単に紹介しています。
このブログには特別なセキュリティプラグインやスパム関連のプラグインがインストールされていませんが、たまにマルウェアやハッキングのために被害を受けるサイトに触れてみるとセキュリティにとても気になりますね。 だから Solid Security (旧名 iThemesセキュリティ)というプラグインをインストールしてみました。
[この記事は更新されましたiTheme■ Security プラグインのインタフェースを反映して、新しく作成して再発行しました。 ]
WordPress セキュリティプラグインSolid Security(ライフネス「iThemes Security")
iTheme■SecurityはWordfence Securityプラグインよりも軽いという評価があり、このブログにしばらくインストールして使用しました。 特に iThemes Security Pro バージョンを購入して利用しました。 今考えてみると、一般ブログサイトの場合、あえてProバージョンまでは必要ないようです。 プロバージョンでは、自動的にマルウェア(マルウェア)をスキャンして報告する機能があるので、このような機能を望む場合は考慮することができます。
この記事を書いた後、このセキュリティプラグインのインタフェースが大幅に変更されました。 しかし、UIが変わっても機能自体は同じです。
iTheme■Securityプラグイン機能(新バージョン)
iTheme■ Security プラグインをインストールして有効にした場合 Security> Settingsに進み、セットアップウィザードを完了させます。 このプラグインが提供するオプションをXNUMXつずつ見てみましょう。
Features > Login Securityは Two-Factor(2段階認証) 機能を有効/無効にできます。
Lockoutsセクションでは Local Brute Force(ローカル無差別代入攻撃)와 Network Brute Force(ネットワーク無差別代入攻撃) ブロック設定を行うことができます。
セットアップウィザードを完了したら ユーザーを禁止 項目が追加で表示されます。 これにより、特定のIPアドレスまたはUser Agentがサイトにアクセスできないようにブロックできます。
ユーティリティ セクションでは、強制的にSSL / TLSを介してサイトがロードされるようにする Enforce SSL、手動または自動データベースバックアップをスケジュールする データベースのバックアップは、 セキュリティチェックプロ 設定できます。
ユーザーグループ タブでは、各ユーザーの役割(管理者、編集者、書き込み、外部必須、購読者など)の設定を行うことができます。 Password Requirements(パスワード要件)では、強力なパスワード(Strong Passwords)を使用するように強制するかどうかを指定できます。
Configure > Global Settingsでは、iTheme■Securityがブロックしないホストリストを追加できます。
ツールセクションでは、いくつかの便利なセキュリティ機能が提供されています。 例えば、 ユーザーIDの変更1でユーザーIDが「1」のユーザーのIDを変更できます。 これは、ユーザーIDが「1」のユーザーが管理者であると仮定して行われるユーザーID 1への攻撃を防ぐためです。
高機能 セクションでは、追加のセキュリティ対策を行うことができます。 例えば、 PHP Executionの アップロードでPHPを無効にするを有効にすると、UploadsフォルダでPHPファイルが実行されないように無効にします。
また、 Hide Backendでは、管理者ページのログインアドレスを変更できます。 しかし、 WordPress ログインページのアドレスを変更することは、セキュリティの強化に大きな助けにならないということが最近の結論であるようです。 この機能は使用しても大きな効果はないかもしれません。
iThemes Securityプラグイン機能(旧バージョン)
iThemes Securityには無料機能と有料機能があり、 wordpress.orgから無料のプラグインをインストールして使用できます。 有料プラグイン機能はグレーで表示され、「PRO」というラベルが付いています。
このプラグインをインストールすると、 WordPress 管理者ページ(ダッシュボード)の左側のパネルに「Security」というメニューが追加されます。 「セキュリティ」をクリックすると、さまざまな機能を有効/無効にしたり設定したりできます。
1)Security Check
推奨機能と設定を使用するように構成することができます。
2)Global Settings(グローバル設定)
iTheme■ Security の動作を制御するデフォルト設定を構成します。 Configure Settingsをクリックすると、さまざまなオプションを設定することができます。
3)404 Detection(404検出)
404 Detection は、存在しない多くのページにアクセスし、404 エラーの多くが発生したユーザーを監視します。 404検出機能では、短時間で多くの404のエラーが発生するユーザーは何か(おそらく脆弱性)を調べていると仮定してこれらのユーザーをブロックします。 この機能はまた、サイトの目に見えない部分で404エラーを引き起こす隠された(露出していない)問題を見つけるのに役立つ追加の利点を提供します。 すべてのエラーは「View Logs」ページに記録されます。
4)Away Mode
ほとんどのサイトでは、一日の特定の時間にのみ更新されるため、24日XNUMX時間年中無休で WordPress ダッシュボードにアクセスする必要がありません。 このオプションを使用すると、指定した期間中に WordPress ダッシュボードにアクセスできないようにすることができます。 この機能を使用すると、攻撃者への曝露を制限するだけでなく、授業やその他の理由のスケジュールに基づいてサイトへのアクセスを無効にすることができ、役に立つことができます。
5)Banned Users
特定のIPアドレスとユーザーエージェントがサイトにアクセスできないようにブロックします。
6)Local Brute Force Protection
ブルートフォース攻撃(Brute Force Protection)からサイトを保護します。
7)Database Backups
サイトのDBのバックアップを作成します。 バックアップは手動で作成したり、スケジュールに基づいて生成することができます。
8)File Change Detection(ファイルの変更を検出)
予期しないファイルの変更を監視します。
9)File Permissions
サイトの主な領域のファイルとディレクトリパーミッション(権限)を確認することができます。
10)Network Brute Force Protection
Local brute force protectionは、サイトへのアクセスを試みだけ監視して、ローカルで指定したブロックルールに基づいてユーザーをブロックします。 Network brute force protectionはLocal brute force protectionからステップひいては他のサイトに侵入しようと試みたユーザーがサイトにアクセスできないように遮断する機能です。
11)SSL
ブラウザとサーバ間の通信が安全であるようSSLを使用する構成します。
12)Strong Password Enforcement
ユーザーが強力なパスワード(パスワード)を使用して、弱いパスワードを使用しないようにします。
13)System Tweaks
サイトのサーバーの構成(server config)を変更して、セキュリティを向上させる高度な機能
14) WordPress Tweaks
기본 WordPress 行動を変更して、セキュリティを向上させる高度な設定
15) WordPress 塩
サイトのセキュリティを強化するため WordPressが使用するシークレットキー(秘密鍵)を更新します。
Malware Scan Scheduling(マルウェアスキャン予約) 等以外の機能は、PROバージョンでのみ使用可能です。
最後に、
総合的なセキュリティ機能を提供するセキュリティプラグインは、重いので、サイトに負担になることがあります。 そのような場合、日中は無効にして、夜にのみ有効にする方法も考えてみることができるようになります。
これらのセキュリティプラグインのインストールに加えて WordPress コアファイル/テーマ/プラグインを常に最新の状態にして、定期的にバックアップを行うと、セキュリティに役立つことができ、万が一の事態が発生しても、簡単に復元することができます。
追加:
このブログには、現在の iTheme■セキュリティプロ(Bloggerバージョン)がインストールされています。 2段階認証プロセスと毎日マルウェアをスキャンする機能を除いて、通常の場合は無料版を使用しても問題ありません。
※アップデート:iThemes Securityプラグインの代わりにBBQというファイアウォールプラグインをインストールしました。 iTheme■ Security と Wordfence Security は包括的なセキュリティプラグインで、機能が豊富ですが、サイトに負担をかける可能性があります。 セキュリティをさらに強化したい場合は、WordfenceまたはiTheme■ Securityがより効果的ですが、軽量のセキュリティプラグインが必要な場合は、BBQなどのプラグインを検討してください。
今日はセキュリティプログラムを敷いていましたが、ベーシックでは設定することはありませんが、そのままにしておけばいいですか?
プラグインのUIが変わり続けているようですね。設定を1つずつクリックして確認してください。
こんにちは。 ithemes security をインストール後 ssl 証明書 インストール後 http から https にリダイレクトされていたものが http で接続した場合、セキュアでないと表示される現象が発見されました。
だから私themes security を無効にすると、再び正常に https にリダイレクトされる状態です。
WordPress 始まってから一週間の初心者です。
何を修正すれば、再び正常にhttpに接続してもhttpsにリダイレクトになることができるかどうかを見ることができますか?
こんにちは? httpからhttpsにリダイレクトする方法として1).htaccessファイルにコードを追加するか、2)プラグイン(Really Simple SSLなど)を使用する方法があります。
iTheme■Securityにこれに関連する機能があるかどうかを確認してみません。
.htaccessファイルにコードを追加しておらず、Really Simple SSLなどのプラグインを使用していない場合は、次の記事で紹介するコードを.htaccessファイルに追加して問題が解決するかどうかを確認しますか?
https://www.thewordcracker.com/miscellaneous/%EB%AC%B4%EB%A3%8C-%EB%B3%B4%EC%95%88%EC%84%9C%EB%B2%84ssl-%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC-%EC%A0%81%EC%9A%A9%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4/
それでも問題が解決しない場合Theme■Securityの代わりに他のセキュリティプラグインを使用することを検討してください。
新規サイトへTheme■ Security を敷いたところ、しばしば Site Lockout Notification が発生します。
ログには「あまりにも多くの間違ったログイン試行」と言ってそのIPをブロックしましたが、別のIPでまたロックがかかりますね。
このような場合は、IPブロックのほか、他の方法はないですか?
こんにちは、バクスンア様。
ボットによるログイン試行が多い場合Limit Login Attempts Reloadedのようなプラグインを使用してみることができます。
https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%8B%9C%EB%8F%84-%ED%9A%9F%EC%88%98-%EC%A0%9C%ED%95%9C/
回答ありがとうございます。
すでにiThemes SecurityにあるLocal Brute Force Protectionを使用してロギンをブロックしていますが、お知らせいただいたプラグインを追加に設定すると、別途役に立ちますか?
iThemes Securityがインストールされている場合は、申し上げたプラグインをインストールしないでください。
ただし、定期的に必ずバックアップをしていただければいいようです。 (バックアップは常に必須です。笑)
私はGoogleウェブマスターツールでrobots.txtファイルを検出できないという問題が表示され、「Banned Users」機能が無効になりました。 robots.txtに関する問題が表示された場合は、この機能を無効にしてテストしてください。
https://www.thewordcracker.com/basic/%EA%B5%AC%EA%B8%80-%EC%9B%B9%EB%A7%88%EC%8A%A4%ED%84%B0%EB%8F%84%EA%B5%AC%EC%97%90%EC%84%9C-robots-txt-%ED%8C%8C%EC%9D%BC%EC%9D%84-%EA%B0%90%EC%A7%80%ED%95%98%EB%8A%94-%EB%AA%BB%ED%95%98%EB%8A%94/
iTheme■セキュリティ WordPress セキュリティプラグインの場合、Logsセクションで、次のようなデータを確認することができます。
Invalid Login Attempts(無効なログインの試み)
404 Errors Found(404エラー)
Malware Scan(マルウェアのスキャン)
詳細については、別の記事で説明したので、参考ください:
https://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/