WordPressのセキュリティプラグイン「iThemes Security」の設定を日本語で解説

参考になればシェアしてもらえるとうれしいです

  • このエントリーをはてなブックマークに追加
  • 8
ithemes-security-pro-logo

WordPressを運用していると、脆弱性を突いた乗っ取りや攻撃などに晒されることが珍しくないです。

その環境下で安全にサイトを運用するために、セキュリティ対策プラグインである「iThemes Security」をインストールして設定を行います。

スポンサーリンク

目次

iThemes Securityとは

現在、WordPressには数多くのセキュリティプラグインが存在します。

代表的なものをあげると

  1. SiteGuard
  2. Acunetix WP Security
  3. All In One WP Security & Firewall
  4. iThemes Security

上から順に設定難易度が優しく、設定出来る項目が少ないと感じています。

iThemes Securityの設定を日本語で解説

それでは早速管理画面の説明に移ります。

iThemes Securityは日本語化に対応してないので、意訳しながら解説していきます。

解説は6種類のタブ

  1. Dashboard
  2. Settings
  3. Advanced
  4. Backups
  5. Logs
  6. Help

に沿って進めていきます。

また、スクリーンショットはサイトをインストールしたばかりの状態のものです。

Dashboard

Don’t Lock Yourself Out

dashboard_dont-lockoutyourself

簡単に言うと

「変なことをしようとするとロックしちゃうよ。あなたがそうならないようホワイトリスト(安全リスト)に今のIPアドレスを登録して24時間はロックされないようにしよう。
ただし、あなたが作業場所などを変えたら(IPが変わるので)ロックされるかもしれないよ?」

ってことです。
大きく設定を変更する前には念のため登録しておいたらよいかと思います。

Getting Started

dashboard_getting-standard

ツールの説明動画と、Pro版の宣伝です。
しばらくFreeで利用して、気に入ったらPro版にアップグレードしてもよいのではないでしょうか。

Security Status

dashboard_status

サイトのセキュリティ状態を表示している画面です。

それぞれ、重要度別に

  • High(赤)
  • Middle(黄)
  • Low(青)
  • Complete(灰)

の4段階で色分けされて項目が表示されています。

最初の段階だといろいろと問題だらけだと思いますが、全ての設定を終えた際に理想は全てCompleteに。最低でも意図しないHighやMiddleの問題はなくなるようにしていきましょう。

WordPress File Permissions

dashboard_filepermission

ファイルの権限について示唆している画面です。
権限は数字3桁で表示されているものです。

例)755

この数字が本来の設定と間違っていると、意図しないユーザがファイルの書き換えや削除ができてしまうという警告になっています。

ファイルの権限について詳しくは下記リンクが参考になると思います。

この画面で「Suggestion」というのが正しい設定。「Value」というのが現在の設定になります。
パーミッション(権限)の変更はFileZillaのようなSFTPソフトや、ターミナルでサーバにログインして変更を行います。

書き換え方は下記リンクを参考になると思います。

System Information

WordPressがインストールされているサーバの情報になります。
よくわからなければ、あまり気にしなくていいブロックです。

Active Lockout

dashboard_active-lockout

何かしらの攻撃まがいの行動をすると、そのホストやユーザがロックされます。
そのロックされているホスト・ユーザの一覧です。

インストールした直後は当然なにも表示がないと思います。

Rewrite Rules

dashboard_rewrite

「.htaccess」ファイルに追記する文になります。

後述の設定「Allow iThemes Security to write to wp-config.php and .htaccess.」で書き換えを許可していれば、自動的に書き換わるため意識する必要はありません。

誤った記述をするとサイトにアクセスできなくなることもあるので、細心の注意を払いながら作業を進めてください。

wp-config.php Rules

dashboard_wpconfig

「wp-config.php」ファイルに追記する文になります。
後述の設定「Allow iThemes Security to write to wp-config.php and .htaccess.」で書き換えを許可していれば、自動的に書き換わるため意識する必要はありません。

こちらも「.htaccess」ファイル同様、誤った記述をするとアクセス不能に陥ることもあるため、作業をする場合は最新の注意を払いながら進めましょう。

Settingsタブ

ここからが設定の本番です。しっかりと確認しながら進めていきましょう。

Global Settings

Write to Files – Allow iThemes Security to write to wp-config.php and .htaccess.

settings_enable-write-file

iThemes Securityに「.htaccess」と「wp-config.php」ファイルの書き換えを許可するか否かの設定になります。
チェックしない場合は、各ファイルを手作業で変更する必要があります。

推奨設定:ON
手作業で変更反映をする場合

変更内容はDashboardタブに掲載されている
「Rewrite Rules」を「.htaccess」へ
「wp-config.php Rules」を「wp-config.php」へ
それぞれ追記しましょう。

Notification Email

settings_notification-email

何かあった際の通知先メールアドレスの設定です。
1行に1アドレスで複数登録することができます。

推奨設定:よく確認するメールアドレスを登録

Send Digest Email – Send digest email

攻撃などがあった際、都度連絡するか、まとめて連絡するかの設定です。
チェックしない場合、攻撃の都度メールが飛んで来ます。

推奨設定:ON

Backup Delivery Email

バックアップが完了した際の通知先メールアドレスの設定です。
1行に1アドレスで複数登録することができます。

推奨設定:よく確認するメールアドレスを登録

Host Lockout Message

settings_hostlook-message

ホストがロックアウト(排除)された際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。

推奨設定:デフォルト値で問題なし。編集したければ自由に変更を。

User Lockout Message

ユーザがロックアウト(排除)された際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。

推奨設定:デフォルト値で問題なし。編集したければ自由に変更を。

Community Lockout Message

iThemesのネットワークに悪性として登録されているIPからアクセスされた際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。

推奨設定:デフォルト値で問題なし。編集したければ自由に変更を。

Blacklist Repeat Offender – Enable Blacklist Repeat Offender

settings_blacklist

複数回、ログインに失敗したユーザをブラックリストユーザとしてBANするかの設定です。

推奨設定:ON

Blacklist Threshold

何回ロックアウトしたユーザをBANするか。という基準値の設定です。
Blacklist Repeat Offenderにチェックが入っていれば、有効な指標となります。

推奨設定:3回(デフォルト値)

この値は運用しながら様子を見て変更していけば良いと思います。

Blacklist Lookback Period

何日間ロックアウトの回数を記録するか。という基準値の設定です。
この値が15日、上のThresholdが3回の場合、15日間で3回以上ロックアウトしたユーザはブラックリストとしてBANされる。という設定になります。

推奨設定:15日(デフォルト値)

この値も運用しながら様子を見て変更していければ良いと思います。

Lockout Period

settings_lookout-period

ロックアウトとして認識する期間の設定です。
この期間内に複数回ログイン失敗したユーザはロックアウトされます。

推奨設定:15分(デフォルト値)

Lockout White List

ログインを失敗してもロックアウトされないホワイトリストIPを登録できる設定です。
自身の環境が固定IPの場合は、万が一ロックアウトされることを防ぐためホワイトリストに登録しておけばよいでしょう。

推奨設定:自身の環境が固定IPなら登録しておけばよいでしょう。

Email Lockout Notifications – Enable Email Lockout Notifications

誰かがロックアウトされたら通知を送るか否かの設定です。

推奨設定:ON

Log Type

settings_logtype

ログをどこに残すか?の設定です。
設定項目は3種類。

  1. Database Only(データベースのみ)
  2. File Only(ファイルのみ)
  3. Both(両方)
推奨設定:データベースのみ

基本はデータベースで問題ないと思います。
非常に多くのアクセスがある場合、若干の速度低下が考えられますが、その速度低下に耐えられない場合は「ファイルのみ」を選択すればよいでしょう。

Days to Keep Database Logs

何日間データベースログを保存するか?の設定です。

ファイルログは容量10MBを超えたらローテーションされるようです。

推奨設定:14日(デフォルト値)

これはサーバの容量と、DBの容量。どれくらいまでさかのぼりたいか。を考慮して設定しましょう。

Path to Log Files

ログファイルの設置パスの設定です。
特にこだわりがなければデフォルト値で問題無いでしょう。

推奨設定:デフォルト値

Allow Data Tracking – Allow iThemes to track plugin usage via anonymous data.

settings_allow-datatrack

iThemes Securityに匿名データとして、プラグインの使用状況を通知しても良いかの設定です。

推奨設定:どちらでも

iThemes Securityに貢献したければON。情報を匿名でも与えたくない場合はOFFで設定を。

Disable File Locking – Disable File Locking

settings_disable-filelock

ファイルのロックを無効にするか否かの設定です。
ログファイルの書き込みがロックによりエラーになる場合、チェックを入れることでロックを無効にすることができます。
基本的にロック状態でもリトライされ、正しく稼働するのであれば無効にしない方が良いでしょう。

推奨設定:OFF

Override Proxy Detection – Disable Proxy IP Detection

ProxyサーバによるIP上書きの検知のOFFにすることが出来る設定です。
CloudFlareやPhotonなどのCDNサービスを利用しており、動作に異常がある場合は設定を無効にしてみると良いでしょう。

推奨設定:OFF

Hide Security Menu in Admin Bar – Hide security menu in admin bar.

管理者バーから「Security」メニューを非表示にするかの設定です。

推奨設定:どちらでも

あまりセキュリティメニューを非表示にするメリットがわかりませんでした。

404 Detection

存在しないページ(404ページ)に怪しい攻撃が来たらBANしてくれる設定です。

404 Detection – Enable 404 detection

settings_enable404

脆弱性スキャンと思われる大量の404 Not Foundエラーを検知する設定です。

推奨設定:ON

Minutes to Remember 404 Error (Check Period)

settings_404minutes

404エラーを記録する時間の設定です。
この設定時間内で規定値を超えた場合、検知してロックアウトされます。

推奨設定:5分(デフォルト値)

Error Threshold

404エラーが規定時間以内に発生した際、通知を行う境界値の設定です。
この設定値を超えるアクセスが、規定時間内に確認された場合ロックアウトされます。

推奨設定:20回(デフォルト値)

404 File/Folder White List

settings_404file-folder

404エラーを検知”しない”ファイル・フォルダのホワイトリストの設定です。
ロボットがアクセスする「favicon.ico」や「robots.txt」などが初期設定として含まれています。

推奨設定:デフォルト値

意味がわかるのであれば、個別に設定していきましょう。

Ignored File Types

エラーとして記録されるが、ロックアウトされないファイルタイプ(拡張子)の設定です。
主に画像ファイルやログファイルなど、同時に複数ファイルアクセスされるような拡張子が初期設定として指定されています。

推奨設定:デフォルト値

js系を追記してもよいかもしれません。

Away Mode

settings_awaymode

Away Mode – Enable away mode

WordPress管理画面を利用しない時間帯に、管理画面をロックするか否かの設定です。

更新日時が決まっている場合はONにし、時間を設定することで深夜などの攻撃リスクを減らすことが出来ます。

推奨設定:どちらでも

サイトを編集する時間がおおよそ決まっているのであれば、有効にすることをおすすめします。
しかし、この機能を有効にした場合は管理画面に全く入れなくなるので、未定の場合は様子見をした方がよいかもしれません。

Type of Restriction

制限の種類を設定します。
設定は2種類です。

  1. Daily(毎日)
  2. One Time(一度のみ)
推奨設定:利用状況に合わせて設定

Start Time

アクセスの遮断を開始する時間の設定です。

推奨設定:利用状況に合わせて設定

End Time

アクセスの遮断を終了する時間の設定です。

推奨設定:利用状況に合わせて設定

Banned Users

settings_ban-users

Default Blacklist – Enable HackRepair.com’s blacklist feature

HackRepair.comのブラックリストをデフォルトで利用する設定です。
チェックを入れることで、HackRepair.com というサイトが保有しているブラックリストを最初のBANリストとして登録出来ます。

推奨設定:ON

Ban Users – Enable ban users

ユーザをBANする機能を利用するか否かの設定です。
チェックを入れることで、BANのホストやユーザを指定することが出来ます。
既に攻撃されているホストやユーザアカウント名がわかっているのであれば、登録しておくのが良いでしょう。

推奨設定:ON

Ban Hosts

HOSTを指定してBANする設定です。
BANするホストがわかっている場合は1行1ホスト(IP)で指定出来ます。

推奨設定:状況に合わせて設定

Ban User Agents

UAを指定してBANする設定です。
BANするユーザーエージェントがわかっている場合は1行1UAで指定出来ます。

推奨設定:状況に合わせて設定

Brute Force Protection

settings_bluteforce

総当り攻撃(ブルートフォースアタック)の防御関連の設定です。

Get your iThemes Brute Force Protection API Key – Receive email updates about WP Security from iThemes

iThemes Brute Force Protectionから情報を取得するためのAPI Keyを取得します。
テキストエリアにメールアドレスを入力しすることでキーが取得できます。

このキーを登録することで、iThemes Brute Force Protectionに登録されているIPから保護されます。

推奨設定:メールアドレスを登録

Enable local brute force protection – Enable local brute force protection.

ローカル設定を用いてBrute Force攻撃から防護するか否かの設定です。
チェックすることで、ローカルの設定を用いて、ブルートフォースアタックから保護します。

推奨設定:ON

Max Login Attempts Per Host

settings_about-lockout

1ホストあたりの一定時間内 最大ログイン回数を設定します。

推奨設定:3回(デフォルト値:5回)

ミスの可能性によって回数の増減を行いましょう。

Max Login Attempts Per User

1ユーザアカウントへの一定時間内の最大ログイン回数を設定します。

推奨設定:5回(デフォルト値:10回)

Minutes to Remember Bad Login (check period)

上記2項目の一定時間を設定します。

推奨設定:5分(デフォルト値)

Automatically ban “admin” user – Immediately ban a host that attempts to login using the “admin” username.

ユーザ名「admin」でログインを試みたユーザを直ちにBANする設定です。

推奨設定:ON

adminというユーザアカウントを利用している場合は、アカウント名を変更しましょう。

Database Backups

データベースのバックアップ設定です。
バックアップをこまめに取っていれば、万が一不正アクセスされ、内容が書き換えられても元に戻せる可能性が上がります。

ぜひバックアップ設定をしておきましょう。

Backup Full Database – Checking this box will have the backup script backup all tables in your database, even if they are not part of this WordPress site.

settings_db-backup

データベースの全てのバックアップを取るかどうかを指定します。
チェックした場合、WordPressのデータベース全体をバックアップします。

推奨設定:ON

データベースのサイズが大きくなってしまうので、運用面で問題が発生すればOFFでも構わないと思います。
が、バックアップの本来の目的を考えるとONにしておくのがベターでしょう。

Backup Method

settings_db-backu-method

バックアップを取ったファイルをどうするかの設定です。

指定は3種類です。

  1. Save Locally and Email(サーバー保存&メール送信)
  2. Email Only(メールで送る)
  3. Save Locally Only(サーバーに保存)
推奨設定:サーバ&メール

不正アクセスされた際は、サーバ内のファイル健全性も怪しくなるため、基本はメール送信を絡めたオプションがおすすめです。
が、容量が多くなってくるとそうも行かなくなってくるため、ファイルサイズによって、設定を使い分けましょう。

Backup Location

サーバー内に保存する場合のファイルパスの設定です。

推奨設定:デフォルト値

Backups to Retain

バックアップファイルの最大保持数の設定です。
数が多くなりすぎてサーバーを圧迫していくのを防ぐため、最大の世代数を指定できます。

数値を指定すると、その数を最大として、古い順からファイルは消えていきます。
「0」を指定すると、制限なくファイルが増え続けます。

推奨設定:状況に合わせて設定

0にするとサーバの容量が増え続けるので、「15」などで仮設定しています。

Compress Backup Files – Zip Database Backups

バックアップファイルを圧縮するか否かの設定です。
チェックをすることでZip圧縮を行います。

推奨設定:ON

Exclude Tables

settings_db-exclude

バックアップを”取らない”テーブルの設定です。
不要なプラグインログなどはサイズ縮小のため除外する事ができます。

推奨設定:状況に合わせて設定

不要なテーブルがわからない場合はデフォルト値で良いかと思います。

Schedule Database Backups – Enable Scheduled Database Backups

データベースバックアップのスケジュール設定です。
チェックすることで、定期的にバックアップを取ることが出来ます。

推奨設定:ON

Backup Interval

何日単位でデータベースのバックアップを取得するかの設定です。

推奨設定:状況に合わせて設定

過剰にバックアップをとっても仕方がないので、サイトの更新頻度に合わせて設定を行うのが良いでしょう。

File Change Detection

settings_filechange

このプラグインを入れる最大の理由の一つと言える当機能。
ファイルの変更を検知して通知してくれる機能です。

この機能を利用することで、不正に実行ファイルを埋め込まれたり、コードが書き換わった場合に気づくことが出来ます。

File Change Detection – Enable File Change detection

ファイル変更を検知するか否かの設定です。

推奨設定:ON

Split File Scanning – Split file checking into chunks.

ファイルの分割スキャンをするか否かの設定です。
分割は下記7つに分けられ、分割されることで大規模サイトでも早くスキャンすることが出来ます。
しかし、その分通知が複数件来ることもあります。

  1. plugins
  2. themes
  3. wp-admin
  4. wp-includes
  5. uploads
  6. 上記以外のwp-content
  7. その他
推奨設定:ON

Include/Exclude Files and Folders

監視するファイルを指定するか、全体から除外指定するかを設定です。

  1. Include(指定)
  2. Exclude(除外)
推奨設定:除外

Files and Folders List

settings_file-list

監視するファイル・フォルダリストを設定です。
監視の必要がなければ、ファイル・フォルダをクリックして除外することが出来ます。

推奨設定:デフォルト値(全て監視)

Ignore File Types

無視するファイルのタイプ(拡張子)を設定です。
デフォルトではよく変更が加えられる画像ファイルとログファイルが除外設定されています。

推奨設定:デフォルト値

Email File Change Notifications – Email file change notifications

ファイルに変更があった際に通知するかどうかを設定です。
通知先はGlobal Settingsのメールアドレスになります。

推奨設定:ON

Display File Change Admin Warning – Display file change admin warning

ファイルが変更された場合、AdminパネルのDashboardに表示するかどうかを設定です。
この設定とEmail通知の設定両方を無効にした場合、ファイル変更の確認はLogファイルを確認するしかなくなりますので、どちらかは必ず有効にしておくことをおすすめします。

推奨設定:ON

Hide Login Area

settings_hide-login

デフォルトの「/wp-admin」や「wp-login.php」からログインURLを変更することで、セキュリティを高めることが出来ます。
シンプルですが効果はあることなので、設定しておくことをおすすめします。

Hide Backend –  Enable the hide backend feature.

デフォルトの管理画面を隠すかどうかを設定です。
チェックをすることで、通常のログインURLから管理画面へのアクセスを遮断することが出来ます。

推奨設定:ON

Login Slug

ログイン画面のURLを設定です。
通常の「wp-admin」に変わるログインURLを任意で設定できます。

推奨設定:任意の値を設定。

ブルートフォースアタックを回避するためにそもそもログインフォームを隠してしまいましょう。

Enable Theme Compatibility – Enable theme compatibility. If you see errors in your theme when using hide backend, in particular when going to wp-admin while not logged in, turn this on to fix them.

テーマの相互互換性機能を有効化するか否かの設定です。

推奨設定:この設定はよくわかりませんでした。

Theme Compatibility Slug

テーマの互換性が無効の場合の転送先設定です。

推奨設定:この設定はよくわかりませんでした。

Custom Login Action

ログイン・ログアウトにカスタムアクションを利用するか否かの設定です。

推奨設定:この設定はよくわかりませんでした。

Malware Scanning

settings_malware

マルウェアがサイトに埋め込まれている場合、検出することが出来る機能です。

利用するには別途 VirusTotal.com よりAPI Keyの取得が必要です。

Secure Socket Layer(SSL)

settings_ssl

SSL周りの設定が出来ます。

Front End SSL Mode

サイトをSSLにするか否かの設定です。
設定は下記3種類です。

  1. Off(SSLなし)
  2. Per Page(ページ指定)
  3. Whole Site(サイト全体)

サイト全体は推奨しない。とされていますが、GoogleがSSLを推奨していることを踏まえると、不具合がなければチャレンジしてもよいのではないかと考えています。

推奨設定:状況に合わせて設定

SSL対応しているサイトで、リニューアルなどのタイミングであればサイト全体を設定して見ても良いかもしれません。

SSL for Dashboard

管理画面へのアクセスに対し、SSLを強制するか否かの設定です。
SSL対応のサイトであれば、強制して問題ないと思います。

推奨設定:ON(SSLに対応しているのであれば)

Strong Password

settings_strong-password

強固なパスワードを強制することにより、アカウントの健全性を保持します。

Strong Passwords – Enable strong password enforcement.

強固なパスワードを強制するか否かの設定です。
チェックすることで強固なパスワードを強制します。

推奨設定:ON

Select Role for Strong Passwords

どのロール(権限グループ)より上位権限に強固なパスワードを求めるかを設定です。
ロールは5種類です。

  1. 管理者
  2. 編集者
  3. 投稿者
  4. 寄稿者
  5. 購読者

指定したロールより上位の権限のものに強固なパスワードが求められます。

推奨設定:状況に合わせて設定

例) 投稿者に設定した場合、強固なパスワードが求められるのは以下の3種類です。

  1. 管理者
  2. 編集者
  3. 投稿者

また、既存ユーザには影響がなく、新規登録時やパスワード変更時に強固なパスワードを求められるようになります。

System Tweaks

settings_system-tweak

さらにシステムを強固にする高度な設定になります。

System Files – Protect System Files

システムファイルの保護を行うか否かの設定です。
チェックすることで、システムファイルが保護されます。

保護されるシステムファイルは下記のとおりです。

  • readme.html
  • readme.txt
  • wp-config.php
  • install.php
  • wp-includes
  • .htaccess
推奨設定:ON

Directory Browsing – Disable Directory Browsing

インデックスファイルが存在しない場合、ファイルリストを表示するのを禁止する設定です。
チェックすることでファイルリスト表示が禁止されます。

推奨設定:ON

Request Methods – Filter Request Methods

アクセスのメソッドで通常利用しない「trace」「delete」「track」のリクエストを制限する設定です。
チェックすることで上記リクエストが制限されます。

推奨設定:ON

Suspicious Query Strings – Filter Suspicious Query Strings in the URL

不審なクエリ文字列(query string)をフィルタリングするか否かの設定です。
チェックすることで、怪しいクエリを除外することが出来ます。

推奨設定:ON

Non-English Characters – Filter Non-English Characters

Suspicious Query Stringsが有効の時のみ作動。
英語ではない文字列のクエリ文字列を除外するか否かの設定です。

推奨設定:OFF

日本語を使う我々の環境においてはOFFにしておくのが無難かと思います。

Long URL Strings – Filter Long URL Strings

長過ぎるURL文字列を制限する設定です。
チェックをすることで、長すぎる文字列をフィルタすることが出来ます。

推奨設定:ON

File Writing Permissions – Remove File Writing Permissions

「wp-config.php」と「.htaccess」ファイルから書き込み権限を剥奪する設定です。
チェックをすることで、ファイルの書き込み権限を剥奪しパーミッション【444】に変更されます。

推奨設定:ON

Disable PHP in Uploads – Disable PHP in Uploads

アップロードされたPHPの実行を無効化する設定です。
チェックをすることで、悪意のあるスクリプトの実行を防ぐことができます。

推奨設定:ON

WordPress Tweaks

settings_wp-tweak

WordPressのセキュリティをさらに高めることが出来る高度な設定です。

Windows Live Writer Header – Remove the Windows Live Writer header

Windows Live Writerのヘッダーを削除する設定です。
LiveWriterを使用していない場合、この設定は不要です。

推奨設定:ON

EditURI Header – Remove the RSD (Really Simple Discovery) header

外部編集ツール用のメタタグである、RSDヘッダーを削除する設定です。
XML-RPCサービスでブログ統合などを実施していない限り、RSDヘッダーは不要なものなので、削除することで無用なリスクから逃れることが出来ます。

推奨設定:ON

Comment Spam – Reduce Comment Spam

コメントスパムを削除する設定です。
ユーザーエージェントから自動判別してbotのコメントを削除します。

推奨設定:ON

File Editor – Disable File Editor

プラグインやテーマのファイルエディタを無効にする設定です。
チェックをすることで、管理画面上からファイルの書き換えが出来なくなります。

推奨設定:ON

XML-RPC

settings_wp-xmlrpc

XML-RPCを無効にする設定です。
選択肢は3種類です。

  1. Disable XML-RPC
  2. Disable Pingbacks
  3. Enable XML-RPC

XML-RPCを利用している場合は「Enable XML-RPC」を選択。
JetPackやWordpressのモバイルアプリを利用している場合は「Disable Pingbacks」を選択。
それ以外の場合は「Disable XML-RPC」を選択して問題ないと思います。

推奨設定:Disable XML-RPC

Multiple Authentication Attempts per XML-RPC Request

XML-RPCの複数認証の設定です。
選択肢は2種。

  1. Block(拒否)
  2. Allow (許可)

認証を可能にすると、総当り攻撃などのリスクが高まるため、不要であれば拒否をしておきましょう。

推奨設定:拒否

Replace jQuery With a Safe Version

jQueryを安全なバージョンに置換する設定です。
バージョンが古いなどレガシーなものを利用している場合は、安定版に置き換えることをおすすめします。

Login Error Messages – Disable login error messages

ログイン時のエラーメッセージを非表示にする設定です。
エラーメッセージで認証を破るヒントを与えてしまうこともあるため、不要であれば非表示にしてしまいましょう。

推奨設定:ON

Force Unique Nickname – Force users to choose a unique nickname

ログイン名と表示上の名前であるニックネームを同じにできないようにする設定です。
チェックをすることで、表示名とログイン名を同一に出来ないようになります。

表示名であるニックネームは記事などに表示されていることが多く、その名前でログインできてしまう可能性を減らすための設定です。

推奨設定:ON

Disable Extra User Archives – Disables a user’s author page if their post count is 0.

投稿がないユーザの投稿アーカイブページを無効化する設定です。
無効化することで、アカウントを探されづらくし、ハッキングされるリスクを減らします。

推奨設定:ON

Advancedタブ

【注意】
このタブには高度な設定がまとめられています。
ほぼ全ての設定がデータベースを書き換える変更になるので、必ずバックアップを取ってから実行しましょう。
最悪、ログイン出来なくなってしまいます。

Admin User

adv_admin

Enable Change Admin User

Adminユーザのユーザ名を変更する設定です。
ブルートフォースアタック系の攻撃では、大抵ユーザID「admin」やID「1」で攻撃をするため、基本的に用いられるユーザ名を変更するのは有効な手段です。

推奨設定:ON

Change User ID 1

WordPressのユーザID「1」を変更する設定です。
WordPressはユーザIDでもログインが出来ます。
管理者は大抵ユーザID「1」なので、そのIDでブルートフォースアタックを仕掛けられます。
ユーザID「1」を変更し、無効にすることで攻撃のリスクを軽減することが出来ます。

推奨設定:ON

WordPress Salts

adv_salt

Change WordPress Salts

WordPressのSecretKeyを生成するための乱数であるsaltを変更する設定です。
このSaltをよくある「password」や「test」で生成している場合、あまりセキュリティ的な価値はありません。
saltをランダムな値に変更することで、セキュリティを高めることが出来ます。

Change Content Directory

adv_change-dir

Enable Change Directory Name

WordPressのコンテンツが格納されているディレクトリである「wp-content」の名前を変更できる設定です。

推奨設定:可能であればON

他のプラグインなどに不具合が出る可能性もあるため、慎重に行いましょう。

Directory Name

「wp-content」から変更するディレクトリ名を指定します。

Change Database Prefix

adv_db-prefix

データベーステーブルの接頭辞を変更する設定です。
WordPressの95%はテーブル接頭辞が「wp」であり、その性質を突いた攻撃も存在します。
テーブル名を変更することで、この攻撃から回避出来るため、デフォルト設定であれば変更をしておくほうが良いでしょう。

推奨設定:ON(wpであれば)

Change Table Prefix

チェックを入れると、テーブル接頭辞が自動的にランダムな文字列に変更されます。

Backups タブ

データベースのバックアップに関する設定が行える画面です。

Make a Database Backup

bk_create

[Create Database]ボタンを押すことで、即時データベースのバックアップファイルを作成することが出来ます。
Advancedタブの設定を変更する前など、バックアップを行いたいときに実行出来て便利な機能です。

Take the Next Steps in Security with BackupBuddy

bk_buggy

当iThemes Securityプラグインを提供しているiThemesが別途提供しているバックアップサービス。
有料サービスにはなりますが、各種バックアップの冗長化やリストア機能が優れているため、必要であれば採用を考えましょう。

Logs タブ

Security Log Data

log_list

いままで発生したログの一覧を確認出来る画面です。
DBのバックアップやBANリストがいつ増えたかなどを確認することが出来ます。

設定

上記を踏まえた、私の設定をこちらに公開します。

そして、上記設定を行なった後のDashboardのStatusはこちらです。

まとめ

サイトを運用しているとセキュリティリスクが多少なりとも伴います。
このプラグインで設定出来る範囲以外にもセキュリティリスクは数多く潜んでいます。

大切なのは、セキュリティに気をつけて

  • WordPressのバージョンアップを細かに行う。
  • セキュリティホールが判明したら、すぐにパッチを当てる。

など、日々細かいメンテナンスを実施していくことだと考えています。

セキュリティに気をつけて、楽しいWordPressライフを。

スポンサーリンク

参考になればシェアしてもらえるとうれしいです

  • このエントリーをはてなブックマークに追加

フォローする

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です