"ワードプレスのベストセキュリティプラグイン"でWordfence Securityをはじめ人気のあるワードプレス用のセキュリティプラグインを簡単に紹介しています。
このブログには、特別なセキュリティプラグインやスパム関連のプラグインがインストールされていないが、場合によってはマルウェアやハッキングのために被害を着るサイトを接して、セキュリティに非常に気に書かれますね。 だから iThemesセキュリティというプラグインをインストールしてみました。
ワードプレスのセキュリティプラグインiThemes Security
iThemes Securityは無料機能と有料機能があり、wordpress.orgで無料のプラグインをインストールして使用することができます。 有料プラグイン的グレーで表示され、「PRO」というラベルが付けられます。
このプラグインをインストールすると、ワードプレスの管理ページ(ダッシュボード)の左側のパネルに「Security」というメニューが追加されます。 「Security」をクリックすると、さまざまな機能を有効/無効にしたり設定することができます。
1)Security Check
推奨機能と設定を使用するように構成することができます。
2)Global Settings(グローバル設定)
iThemes Securityの動作を制御する基本的な設定を構成します。 Configure Settingsをクリックすると、さまざまなオプションを設定することができます。
3)404 Detection(404検出)
404 Detectionは存在していない多くのページにアクセスして、多くの404エラーが発生しているユーザーを監視します。 404 Detection機能では、短い時間で多くの404のエラーが発生しているユーザーは何か(おそらく脆弱性)を検査していることを前提として、これらのユーザーをブロックします。 この機能は、サイトの目に見えない部分で404エラーを発生させる隠された(認識されない)の問題を見つけることに役立つ追加の利点を提供します。 すべてのエラーは、「View Logs」ページに記録されます。
4)Away Mode
ほとんどのサイトでは、一日の特定の時間にのみ更新されるので、一日24時間年中無休で WordPress ダッシュボードにアクセスする必要がありません。 このオプションを使用すると、指定した期間中に WordPress ダッシュボードにアクセスできないようにすることができます。 この機能を使用すると、攻撃者への曝露を制限するだけでなく、授業やその他の理由のスケジュールに基づいてサイトへのアクセスを無効にすることができ、役に立つことができます。
5)Banned Users
特定のIPアドレスとユーザーエージェントがサイトにアクセスできないようにブロックします。
6)Local Brute Force Protection
ブルートフォース攻撃(Brute Force Protection)からサイトを保護します。
7)Database Backups
サイトのDBのバックアップを作成します。 バックアップは手動で作成したり、スケジュールに基づいて生成することができます。
8)File Change Detection(ファイルの変更を検出)
予期しないファイルの変更を監視します。
9)File Permissions
サイトの主な領域のファイルとディレクトリパーミッション(権限)を確認することができます。
10)Network Brute Force Protection
Local brute force protectionは、サイトへのアクセスを試みだけ監視して、ローカルで指定したブロックルールに基づいてユーザーをブロックします。 Network brute force protectionはLocal brute force protectionからステップひいては他のサイトに侵入しようと試みたユーザーがサイトにアクセスできないように遮断する機能です。
11)SSL
ブラウザとサーバ間の通信が安全であるようSSLを使用する構成します。
12)Strong Password Enforcement
ユーザーが強力なパスワード(パスワード)を使用して、弱いパスワードを使用しないようにします。
13)System Tweaks
サイトのサーバーの構成(server config)を変更して、セキュリティを向上させる高度な機能
14) WordPress 微調整
基本ワードプレス動作を変更して、セキュリティを向上させる高度な設定
15) WordPress 塩
サイトのセキュリティを強化するためのワードプレスで使用されるシークレットキー(秘密鍵)を更新します。
Malware Scan Scheduling(マルウェアスキャン予約) 等以外の機能は、PROバージョンでのみ使用可能です。
おわりに
総合的なセキュリティ機能を提供するセキュリティプラグインは、重いので、サイトに負担になることがあります。 そのような場合、日中は無効にして、夜にのみ有効にする方法も考えてみることができるようになります。
これらのセキュリティプラグインのインストールに加えて、ワードプレスコアファイル/テーマ/プラグインを常に最新の状態にして、定期的にバックアップを行うと、セキュリティに役立つことができ、万が一の事態が発生しても、簡単に復元することができます。
追加:
このブログには、現在の iThemesセキュリティプロ(Bloggerバージョン)がインストールされています。 2段階認証と毎日マルウェアをスキャンする機能を除けば、通常の場合、無料版を利用しても大丈夫そうです。
※更新:iThemes Securityプラグインの代わりにBBQとファイアウォールのプラグインをインストールしました。 iThemes SecurityとWordfence Securityは、総合的なセキュリティプラグインで機能が多いサイトに負担を与えることができます。 軽いセキュリティプラグインをご希望の場合BBQのようなプラグインを考慮してみることができます。
新規サイトにiThemes Securityを敷いたしきりにSite Lockout Notificationが発生します。
ログには、 "あまりにも多くの無効なログインの試み」として対応するIPアドレスをブロックしたが、他のIPにまたロックかかりますね。
このような場合は、IPブロックのほか、他の方法はないですか?
こんにちは、バクスンア様。
ボットによるログイン試行が多い場合Limit Login Attempts Reloadedのようなプラグインを使用してみることができます。
https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%8B%9C%EB%8F%84-%ED%9A%9F%EC%88%98-%EC%A0%9C%ED%95%9C/
回答ありがとうございます。
すでにiThemes SecurityのLocal Brute Force Protectionを使用してログインをブロックしていますが、教えたプラグインを追加で設定すると、別のに役立ちますか?
iThemes Securityがインストールされている場合は申し上げたプラグインは、インストールしなくても良いと思われる。
ただし、定期的に必ずバックアップをしていただければいいようです。 (バックアップは常に必須です。笑)
私はGoogleのウェブマスターツールでrobots.txtファイルを検出することができない問題が現れ、「Banned Users」機能は無効にしました。 robots.txtの問題が表示されたら、この機能を無効にした後、テストしてみてください。
https://www.thewordcracker.com/basic/%EA%B5%AC%EA%B8%80-%EC%9B%B9%EB%A7%88%EC%8A%A4%ED%84%B0%EB%8F%84%EA%B5%AC%EC%97%90%EC%84%9C-robots-txt-%ED%8C%8C%EC%9D%BC%EC%9D%84-%EA%B0%90%EC%A7%80%ED%95%98%EB%8A%94-%EB%AA%BB%ED%95%98%EB%8A%94/
iThemesセキュリティ WordPress セキュリティプラグインの場合、Logsセクションで、次のようなデータを確認することができます。
Invalid Login Attempts(無効なログインの試み)
404 Errors Found(404エラー)
Malware Scan(マルウェアのスキャン)
詳細については、別の記事で説明したので、参考ください:
https://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/