WordPressを運用していると、脆弱性を突いた乗っ取りや攻撃などに晒されることが珍しくないです。
その環境下で安全にサイトを運用するために、セキュリティ対策プラグインである「iThemes Security」をインストールして設定を行います。
目次
iThemes Securityとは
現在、WordPressには数多くのセキュリティプラグインが存在します。
代表的なものをあげると
上から順に設定難易度が優しく、設定出来る項目が少ないと感じています。
iThemes Securityの設定を日本語で解説
それでは早速管理画面の説明に移ります。
iThemes Securityは日本語化に対応してないので、意訳しながら解説していきます。
解説は6種類のタブ
- Dashboard
- Settings
- Advanced
- Backups
- Logs
- Help
に沿って進めていきます。
また、スクリーンショットはサイトをインストールしたばかりの状態のものです。
Dashboard
Don’t Lock Yourself Out
簡単に言うと
「変なことをしようとするとロックしちゃうよ。あなたがそうならないようホワイトリスト(安全リスト)に今のIPアドレスを登録して24時間はロックされないようにしよう。
ただし、あなたが作業場所などを変えたら(IPが変わるので)ロックされるかもしれないよ?」
ってことです。
大きく設定を変更する前には念のため登録しておいたらよいかと思います。
Getting Started
ツールの説明動画と、Pro版の宣伝です。
しばらくFreeで利用して、気に入ったらPro版にアップグレードしてもよいのではないでしょうか。
Security Status
サイトのセキュリティ状態を表示している画面です。
それぞれ、重要度別に
- High(赤)
- Middle(黄)
- Low(青)
- Complete(灰)
の4段階で色分けされて項目が表示されています。
最初の段階だといろいろと問題だらけだと思いますが、全ての設定を終えた際に理想は全てCompleteに。最低でも意図しないHighやMiddleの問題はなくなるようにしていきましょう。
WordPress File Permissions
ファイルの権限について示唆している画面です。
権限は数字3桁で表示されているものです。
この数字が本来の設定と間違っていると、意図しないユーザがファイルの書き換えや削除ができてしまうという警告になっています。
ファイルの権限について詳しくは下記リンクが参考になると思います。
この画面で「Suggestion」というのが正しい設定。「Value」というのが現在の設定になります。
パーミッション(権限)の変更はFileZillaのようなSFTPソフトや、ターミナルでサーバにログインして変更を行います。
書き換え方は下記リンクを参考になると思います。
System Information
WordPressがインストールされているサーバの情報になります。
よくわからなければ、あまり気にしなくていいブロックです。
Active Lockout
何かしらの攻撃まがいの行動をすると、そのホストやユーザがロックされます。
そのロックされているホスト・ユーザの一覧です。
インストールした直後は当然なにも表示がないと思います。
Rewrite Rules
「.htaccess」ファイルに追記する文になります。
後述の設定「Allow iThemes Security to write to wp-config.php and .htaccess.」で書き換えを許可していれば、自動的に書き換わるため意識する必要はありません。
誤った記述をするとサイトにアクセスできなくなることもあるので、細心の注意を払いながら作業を進めてください。
wp-config.php Rules
「wp-config.php」ファイルに追記する文になります。
後述の設定「Allow iThemes Security to write to wp-config.php and .htaccess.」で書き換えを許可していれば、自動的に書き換わるため意識する必要はありません。
こちらも「.htaccess」ファイル同様、誤った記述をするとアクセス不能に陥ることもあるため、作業をする場合は最新の注意を払いながら進めましょう。
Settingsタブ
ここからが設定の本番です。しっかりと確認しながら進めていきましょう。
Global Settings
Write to Files – Allow iThemes Security to write to wp-config.php and .htaccess.
iThemes Securityに「.htaccess」と「wp-config.php」ファイルの書き換えを許可するか否かの設定になります。
チェックしない場合は、各ファイルを手作業で変更する必要があります。
手作業で変更反映をする場合
変更内容はDashboardタブに掲載されている
「Rewrite Rules」を「.htaccess」へ
「wp-config.php Rules」を「wp-config.php」へ
それぞれ追記しましょう。
Notification Email
何かあった際の通知先メールアドレスの設定です。
1行に1アドレスで複数登録することができます。
Send Digest Email – Send digest email
攻撃などがあった際、都度連絡するか、まとめて連絡するかの設定です。
チェックしない場合、攻撃の都度メールが飛んで来ます。
Backup Delivery Email
バックアップが完了した際の通知先メールアドレスの設定です。
1行に1アドレスで複数登録することができます。
Host Lockout Message
ホストがロックアウト(排除)された際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。
User Lockout Message
ユーザがロックアウト(排除)された際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。
Community Lockout Message
iThemesのネットワークに悪性として登録されているIPからアクセスされた際に出力されるメッセージ設定です。
メッセージは任意に設定でき、一部htmlタグも利用できます。
Blacklist Repeat Offender – Enable Blacklist Repeat Offender
複数回、ログインに失敗したユーザをブラックリストユーザとしてBANするかの設定です。
Blacklist Threshold
何回ロックアウトしたユーザをBANするか。という基準値の設定です。
Blacklist Repeat Offenderにチェックが入っていれば、有効な指標となります。
推奨設定:3回(デフォルト値)
この値は運用しながら様子を見て変更していけば良いと思います。
Blacklist Lookback Period
何日間ロックアウトの回数を記録するか。という基準値の設定です。
この値が15日、上のThresholdが3回の場合、15日間で3回以上ロックアウトしたユーザはブラックリストとしてBANされる。という設定になります。
この値も運用しながら様子を見て変更していければ良いと思います。
Lockout Period
ロックアウトとして認識する期間の設定です。
この期間内に複数回ログイン失敗したユーザはロックアウトされます。
Lockout White List
ログインを失敗してもロックアウトされないホワイトリストIPを登録できる設定です。
自身の環境が固定IPの場合は、万が一ロックアウトされることを防ぐためホワイトリストに登録しておけばよいでしょう。
Email Lockout Notifications – Enable Email Lockout Notifications
誰かがロックアウトされたら通知を送るか否かの設定です。
Log Type
ログをどこに残すか?の設定です。
設定項目は3種類。
- Database Only(データベースのみ)
- File Only(ファイルのみ)
- Both(両方)
基本はデータベースで問題ないと思います。
非常に多くのアクセスがある場合、若干の速度低下が考えられますが、その速度低下に耐えられない場合は「ファイルのみ」を選択すればよいでしょう。
Days to Keep Database Logs
何日間データベースログを保存するか?の設定です。
ファイルログは容量10MBを超えたらローテーションされるようです。
これはサーバの容量と、DBの容量。どれくらいまでさかのぼりたいか。を考慮して設定しましょう。
Path to Log Files
ログファイルの設置パスの設定です。
特にこだわりがなければデフォルト値で問題無いでしょう。
Allow Data Tracking – Allow iThemes to track plugin usage via anonymous data.
iThemes Securityに匿名データとして、プラグインの使用状況を通知しても良いかの設定です。
iThemes Securityに貢献したければON。情報を匿名でも与えたくない場合はOFFで設定を。
Disable File Locking – Disable File Locking
ファイルのロックを無効にするか否かの設定です。
ログファイルの書き込みがロックによりエラーになる場合、チェックを入れることでロックを無効にすることができます。
基本的にロック状態でもリトライされ、正しく稼働するのであれば無効にしない方が良いでしょう。
Override Proxy Detection – Disable Proxy IP Detection
ProxyサーバによるIP上書きの検知のOFFにすることが出来る設定です。
CloudFlareやPhotonなどのCDNサービスを利用しており、動作に異常がある場合は設定を無効にしてみると良いでしょう。
管理者バーから「Security」メニューを非表示にするかの設定です。
あまりセキュリティメニューを非表示にするメリットがわかりませんでした。
404 Detection
存在しないページ(404ページ)に怪しい攻撃が来たらBANしてくれる設定です。
404 Detection – Enable 404 detection
脆弱性スキャンと思われる大量の404 Not Foundエラーを検知する設定です。
Minutes to Remember 404 Error (Check Period)
404エラーを記録する時間の設定です。
この設定時間内で規定値を超えた場合、検知してロックアウトされます。
Error Threshold
404エラーが規定時間以内に発生した際、通知を行う境界値の設定です。
この設定値を超えるアクセスが、規定時間内に確認された場合ロックアウトされます。
404 File/Folder White List
404エラーを検知”しない”ファイル・フォルダのホワイトリストの設定です。
ロボットがアクセスする「favicon.ico」や「robots.txt」などが初期設定として含まれています。
意味がわかるのであれば、個別に設定していきましょう。
Ignored File Types
エラーとして記録されるが、ロックアウトされないファイルタイプ(拡張子)の設定です。
主に画像ファイルやログファイルなど、同時に複数ファイルアクセスされるような拡張子が初期設定として指定されています。
js系を追記してもよいかもしれません。
Away Mode
Away Mode – Enable away mode
WordPress管理画面を利用しない時間帯に、管理画面をロックするか否かの設定です。
更新日時が決まっている場合はONにし、時間を設定することで深夜などの攻撃リスクを減らすことが出来ます。
サイトを編集する時間がおおよそ決まっているのであれば、有効にすることをおすすめします。
しかし、この機能を有効にした場合は管理画面に全く入れなくなるので、未定の場合は様子見をした方がよいかもしれません。
Type of Restriction
制限の種類を設定します。
設定は2種類です。
- Daily(毎日)
- One Time(一度のみ)
Start Time
アクセスの遮断を開始する時間の設定です。
End Time
アクセスの遮断を終了する時間の設定です。
Banned Users
Default Blacklist – Enable HackRepair.com’s blacklist feature
HackRepair.comのブラックリストをデフォルトで利用する設定です。
チェックを入れることで、HackRepair.com というサイトが保有しているブラックリストを最初のBANリストとして登録出来ます。
Ban Users – Enable ban users
ユーザをBANする機能を利用するか否かの設定です。
チェックを入れることで、BANのホストやユーザを指定することが出来ます。
既に攻撃されているホストやユーザアカウント名がわかっているのであれば、登録しておくのが良いでしょう。
Ban Hosts
HOSTを指定してBANする設定です。
BANするホストがわかっている場合は1行1ホスト(IP)で指定出来ます。
Ban User Agents
UAを指定してBANする設定です。
BANするユーザーエージェントがわかっている場合は1行1UAで指定出来ます。
Brute Force Protection
総当り攻撃(ブルートフォースアタック)の防御関連の設定です。
Get your iThemes Brute Force Protection API Key – Receive email updates about WP Security from iThemes
iThemes Brute Force Protectionから情報を取得するためのAPI Keyを取得します。
テキストエリアにメールアドレスを入力しすることでキーが取得できます。
このキーを登録することで、iThemes Brute Force Protectionに登録されているIPから保護されます。
Enable local brute force protection – Enable local brute force protection.
ローカル設定を用いてBrute Force攻撃から防護するか否かの設定です。
チェックすることで、ローカルの設定を用いて、ブルートフォースアタックから保護します。
Max Login Attempts Per Host
1ホストあたりの一定時間内 最大ログイン回数を設定します。
ミスの可能性によって回数の増減を行いましょう。
Max Login Attempts Per User
1ユーザアカウントへの一定時間内の最大ログイン回数を設定します。
Minutes to Remember Bad Login (check period)
上記2項目の一定時間を設定します。
Automatically ban “admin” user – Immediately ban a host that attempts to login using the “admin” username.
ユーザ名「admin」でログインを試みたユーザを直ちにBANする設定です。
adminというユーザアカウントを利用している場合は、アカウント名を変更しましょう。
Database Backups
データベースのバックアップ設定です。
バックアップをこまめに取っていれば、万が一不正アクセスされ、内容が書き換えられても元に戻せる可能性が上がります。
ぜひバックアップ設定をしておきましょう。
Backup Full Database – Checking this box will have the backup script backup all tables in your database, even if they are not part of this WordPress site.
データベースの全てのバックアップを取るかどうかを指定します。
チェックした場合、WordPressのデータベース全体をバックアップします。
データベースのサイズが大きくなってしまうので、運用面で問題が発生すればOFFでも構わないと思います。
が、バックアップの本来の目的を考えるとONにしておくのがベターでしょう。
Backup Method
バックアップを取ったファイルをどうするかの設定です。
指定は3種類です。
- Save Locally and Email(サーバー保存&メール送信)
- Email Only(メールで送る)
- Save Locally Only(サーバーに保存)
不正アクセスされた際は、サーバ内のファイル健全性も怪しくなるため、基本はメール送信を絡めたオプションがおすすめです。
が、容量が多くなってくるとそうも行かなくなってくるため、ファイルサイズによって、設定を使い分けましょう。
Backup Location
サーバー内に保存する場合のファイルパスの設定です。
Backups to Retain
バックアップファイルの最大保持数の設定です。
数が多くなりすぎてサーバーを圧迫していくのを防ぐため、最大の世代数を指定できます。
数値を指定すると、その数を最大として、古い順からファイルは消えていきます。
「0」を指定すると、制限なくファイルが増え続けます。
0にするとサーバの容量が増え続けるので、「15」などで仮設定しています。
Compress Backup Files – Zip Database Backups
バックアップファイルを圧縮するか否かの設定です。
チェックをすることでZip圧縮を行います。
Exclude Tables
バックアップを”取らない”テーブルの設定です。
不要なプラグインログなどはサイズ縮小のため除外する事ができます。
不要なテーブルがわからない場合はデフォルト値で良いかと思います。
Schedule Database Backups – Enable Scheduled Database Backups
データベースバックアップのスケジュール設定です。
チェックすることで、定期的にバックアップを取ることが出来ます。
Backup Interval
何日単位でデータベースのバックアップを取得するかの設定です。
過剰にバックアップをとっても仕方がないので、サイトの更新頻度に合わせて設定を行うのが良いでしょう。
File Change Detection
このプラグインを入れる最大の理由の一つと言える当機能。
ファイルの変更を検知して通知してくれる機能です。
この機能を利用することで、不正に実行ファイルを埋め込まれたり、コードが書き換わった場合に気づくことが出来ます。
File Change Detection – Enable File Change detection
ファイル変更を検知するか否かの設定です。
Split File Scanning – Split file checking into chunks.
ファイルの分割スキャンをするか否かの設定です。
分割は下記7つに分けられ、分割されることで大規模サイトでも早くスキャンすることが出来ます。
しかし、その分通知が複数件来ることもあります。
- plugins
- themes
- wp-admin
- wp-includes
- uploads
- 上記以外のwp-content
- その他
Include/Exclude Files and Folders
監視するファイルを指定するか、全体から除外指定するかを設定です。
- Include(指定)
- Exclude(除外)
Files and Folders List
監視するファイル・フォルダリストを設定です。
監視の必要がなければ、ファイル・フォルダをクリックして除外することが出来ます。
Ignore File Types
無視するファイルのタイプ(拡張子)を設定です。
デフォルトではよく変更が加えられる画像ファイルとログファイルが除外設定されています。
Email File Change Notifications – Email file change notifications
ファイルに変更があった際に通知するかどうかを設定です。
通知先はGlobal Settingsのメールアドレスになります。
Display File Change Admin Warning – Display file change admin warning
ファイルが変更された場合、AdminパネルのDashboardに表示するかどうかを設定です。
この設定とEmail通知の設定両方を無効にした場合、ファイル変更の確認はLogファイルを確認するしかなくなりますので、どちらかは必ず有効にしておくことをおすすめします。
Hide Login Area
デフォルトの「/wp-admin」や「wp-login.php」からログインURLを変更することで、セキュリティを高めることが出来ます。
シンプルですが効果はあることなので、設定しておくことをおすすめします。
Hide Backend – Enable the hide backend feature.
デフォルトの管理画面を隠すかどうかを設定です。
チェックをすることで、通常のログインURLから管理画面へのアクセスを遮断することが出来ます。
Login Slug
ログイン画面のURLを設定です。
通常の「wp-admin」に変わるログインURLを任意で設定できます。
ブルートフォースアタックを回避するためにそもそもログインフォームを隠してしまいましょう。
Enable Theme Compatibility – Enable theme compatibility. If you see errors in your theme when using hide backend, in particular when going to wp-admin while not logged in, turn this on to fix them.
テーマの相互互換性機能を有効化するか否かの設定です。
推奨設定:この設定はよくわかりませんでした。
Theme Compatibility Slug
テーマの互換性が無効の場合の転送先設定です。
推奨設定:この設定はよくわかりませんでした。
Custom Login Action
ログイン・ログアウトにカスタムアクションを利用するか否かの設定です。
推奨設定:この設定はよくわかりませんでした。
Malware Scanning
マルウェアがサイトに埋め込まれている場合、検出することが出来る機能です。
利用するには別途 VirusTotal.com よりAPI Keyの取得が必要です。
Secure Socket Layer(SSL)
SSL周りの設定が出来ます。
Front End SSL Mode
サイトをSSLにするか否かの設定です。
設定は下記3種類です。
- Off(SSLなし)
- Per Page(ページ指定)
- Whole Site(サイト全体)
サイト全体は推奨しない。とされていますが、GoogleがSSLを推奨していることを踏まえると、不具合がなければチャレンジしてもよいのではないかと考えています。
SSL対応しているサイトで、リニューアルなどのタイミングであればサイト全体を設定して見ても良いかもしれません。
SSL for Dashboard
管理画面へのアクセスに対し、SSLを強制するか否かの設定です。
SSL対応のサイトであれば、強制して問題ないと思います。
Strong Password
強固なパスワードを強制することにより、アカウントの健全性を保持します。
Strong Passwords – Enable strong password enforcement.
強固なパスワードを強制するか否かの設定です。
チェックすることで強固なパスワードを強制します。
Select Role for Strong Passwords
どのロール(権限グループ)より上位権限に強固なパスワードを求めるかを設定です。
ロールは5種類です。
- 管理者
- 編集者
- 投稿者
- 寄稿者
- 購読者
指定したロールより上位の権限のものに強固なパスワードが求められます。
例) 投稿者に設定した場合、強固なパスワードが求められるのは以下の3種類です。
- 管理者
- 編集者
- 投稿者
また、既存ユーザには影響がなく、新規登録時やパスワード変更時に強固なパスワードを求められるようになります。
System Tweaks
さらにシステムを強固にする高度な設定になります。
System Files – Protect System Files
システムファイルの保護を行うか否かの設定です。
チェックすることで、システムファイルが保護されます。
保護されるシステムファイルは下記のとおりです。
- readme.html
- readme.txt
- wp-config.php
- install.php
- wp-includes
- .htaccess
Directory Browsing – Disable Directory Browsing
インデックスファイルが存在しない場合、ファイルリストを表示するのを禁止する設定です。
チェックすることでファイルリスト表示が禁止されます。
Request Methods – Filter Request Methods
アクセスのメソッドで通常利用しない「trace」「delete」「track」のリクエストを制限する設定です。
チェックすることで上記リクエストが制限されます。
Suspicious Query Strings – Filter Suspicious Query Strings in the URL
不審なクエリ文字列(query string)をフィルタリングするか否かの設定です。
チェックすることで、怪しいクエリを除外することが出来ます。
Non-English Characters – Filter Non-English Characters
Suspicious Query Stringsが有効の時のみ作動。
英語ではない文字列のクエリ文字列を除外するか否かの設定です。
日本語を使う我々の環境においてはOFFにしておくのが無難かと思います。
Long URL Strings – Filter Long URL Strings
長過ぎるURL文字列を制限する設定です。
チェックをすることで、長すぎる文字列をフィルタすることが出来ます。
File Writing Permissions – Remove File Writing Permissions
「wp-config.php」と「.htaccess」ファイルから書き込み権限を剥奪する設定です。
チェックをすることで、ファイルの書き込み権限を剥奪しパーミッション【444】に変更されます。
Disable PHP in Uploads – Disable PHP in Uploads
アップロードされたPHPの実行を無効化する設定です。
チェックをすることで、悪意のあるスクリプトの実行を防ぐことができます。
WordPress Tweaks
WordPressのセキュリティをさらに高めることが出来る高度な設定です。
Windows Live Writer Header – Remove the Windows Live Writer header
Windows Live Writerのヘッダーを削除する設定です。
LiveWriterを使用していない場合、この設定は不要です。
EditURI Header – Remove the RSD (Really Simple Discovery) header
外部編集ツール用のメタタグである、RSDヘッダーを削除する設定です。
XML-RPCサービスでブログ統合などを実施していない限り、RSDヘッダーは不要なものなので、削除することで無用なリスクから逃れることが出来ます。
Comment Spam – Reduce Comment Spam
コメントスパムを削除する設定です。
ユーザーエージェントから自動判別してbotのコメントを削除します。
File Editor – Disable File Editor
プラグインやテーマのファイルエディタを無効にする設定です。
チェックをすることで、管理画面上からファイルの書き換えが出来なくなります。
XML-RPC
XML-RPCを無効にする設定です。
選択肢は3種類です。
- Disable XML-RPC
- Disable Pingbacks
- Enable XML-RPC
XML-RPCを利用している場合は「Enable XML-RPC」を選択。
JetPackやWordpressのモバイルアプリを利用している場合は「Disable Pingbacks」を選択。
それ以外の場合は「Disable XML-RPC」を選択して問題ないと思います。
Multiple Authentication Attempts per XML-RPC Request
XML-RPCの複数認証の設定です。
選択肢は2種。
- Block(拒否)
- Allow (許可)
認証を可能にすると、総当り攻撃などのリスクが高まるため、不要であれば拒否をしておきましょう。
Replace jQuery With a Safe Version
jQueryを安全なバージョンに置換する設定です。
バージョンが古いなどレガシーなものを利用している場合は、安定版に置き換えることをおすすめします。
Login Error Messages – Disable login error messages
ログイン時のエラーメッセージを非表示にする設定です。
エラーメッセージで認証を破るヒントを与えてしまうこともあるため、不要であれば非表示にしてしまいましょう。
Force Unique Nickname – Force users to choose a unique nickname
ログイン名と表示上の名前であるニックネームを同じにできないようにする設定です。
チェックをすることで、表示名とログイン名を同一に出来ないようになります。
表示名であるニックネームは記事などに表示されていることが多く、その名前でログインできてしまう可能性を減らすための設定です。
投稿がないユーザの投稿アーカイブページを無効化する設定です。
無効化することで、アカウントを探されづらくし、ハッキングされるリスクを減らします。
Advancedタブ
このタブには高度な設定がまとめられています。
ほぼ全ての設定がデータベースを書き換える変更になるので、必ずバックアップを取ってから実行しましょう。
最悪、ログイン出来なくなってしまいます。
Admin User
Enable Change Admin User
Adminユーザのユーザ名を変更する設定です。
ブルートフォースアタック系の攻撃では、大抵ユーザID「admin」やID「1」で攻撃をするため、基本的に用いられるユーザ名を変更するのは有効な手段です。
Change User ID 1
WordPressのユーザID「1」を変更する設定です。
WordPressはユーザIDでもログインが出来ます。
管理者は大抵ユーザID「1」なので、そのIDでブルートフォースアタックを仕掛けられます。
ユーザID「1」を変更し、無効にすることで攻撃のリスクを軽減することが出来ます。
WordPress Salts
Change WordPress Salts
WordPressのSecretKeyを生成するための乱数であるsaltを変更する設定です。
このSaltをよくある「password」や「test」で生成している場合、あまりセキュリティ的な価値はありません。
saltをランダムな値に変更することで、セキュリティを高めることが出来ます。
Change Content Directory
Enable Change Directory Name
WordPressのコンテンツが格納されているディレクトリである「wp-content」の名前を変更できる設定です。
他のプラグインなどに不具合が出る可能性もあるため、慎重に行いましょう。
Directory Name
「wp-content」から変更するディレクトリ名を指定します。
Change Database Prefix
データベーステーブルの接頭辞を変更する設定です。
WordPressの95%はテーブル接頭辞が「wp」であり、その性質を突いた攻撃も存在します。
テーブル名を変更することで、この攻撃から回避出来るため、デフォルト設定であれば変更をしておくほうが良いでしょう。
Change Table Prefix
チェックを入れると、テーブル接頭辞が自動的にランダムな文字列に変更されます。
Backups タブ
データベースのバックアップに関する設定が行える画面です。
Make a Database Backup
[Create Database]ボタンを押すことで、即時データベースのバックアップファイルを作成することが出来ます。
Advancedタブの設定を変更する前など、バックアップを行いたいときに実行出来て便利な機能です。
Take the Next Steps in Security with BackupBuddy
当iThemes Securityプラグインを提供しているiThemesが別途提供しているバックアップサービス。
有料サービスにはなりますが、各種バックアップの冗長化やリストア機能が優れているため、必要であれば採用を考えましょう。
Logs タブ
Security Log Data
いままで発生したログの一覧を確認出来る画面です。
DBのバックアップやBANリストがいつ増えたかなどを確認することが出来ます。
設定
上記を踏まえた、私の設定をこちらに公開します。
そして、上記設定を行なった後のDashboardのStatusはこちらです。
まとめ
サイトを運用しているとセキュリティリスクが多少なりとも伴います。
このプラグインで設定出来る範囲以外にもセキュリティリスクは数多く潜んでいます。
大切なのは、セキュリティに気をつけて
- WordPressのバージョンアップを細かに行う。
- セキュリティホールが判明したら、すぐにパッチを当てる。
など、日々細かいメンテナンスを実施していくことだと考えています。
セキュリティに気をつけて、楽しいWordPressライフを。