WordPressで作成したサイトの挙動が最近おかしいので、セキュリティを上げることにしました。
WordPressのセキュリティ対策にはいろいろなプラグインがありますが、今回導入したのはSiteGuard WP Pluginです。
SiteGuard WP Plugin を有効化すると、以下の機能が適応されます。
ログインページ変更
WordPressのログインURLをデフォルトの exsample.com/wp-admin.phpから変更します。
これを有効化したときには、管理者ページからログインページへリダイレクトしないにチェックを入れておきます。
ログインURLが変更になるので、新しいURLをブックマークしておく必要があります。
管理者にメールが送信されるので、それを確認するなり、わからなくなってしまった場合には.htaccess ファイルを確認することで、変更されたURLの確認ができます。
画像認証
こちらを有効化すると、ログイン時に画像で表示された文字列を入力しないとログインできなくなります。
文字列はひらがなと英数字を選択できますが、日本国内のサイトでしたらひらがなのにしておいた方がより安全になります。
ログイン詳細エラーメッセージの無効化
ログイン失敗時に出るエラーメッセージを単一化し、ユーザー名が違うのか、パスワードが違うのか、画像認証が違うのか判別できなくします。
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート
ログインがあったことを、メールで通知します。
XML-RPC防御
XML-RPCはXML形式のデータをHTMLでやり取りするためのプロトコルです。
XML-RPCを利用することで、Webサービスなどのリモート操作が可能となります。
しかしセキュリティ的に弱い部分があるため、問題が無ければ無効化しておくとよいでしょう。
更新通知
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
ログイン履歴
ログインしたユーザーを記録します。
機能としては、違法ログイン対策が中心です。
マルウエア等のウイルスに感染している場合には他の対策が必要になりますが、まずはWordpressを不正操作させない対策として、インストールしておくと良いでしょう。
