WordPressに【Secure WordPress】を導入してセキュリティを強化

この記事の所要時間: 345

どうも、Noodle.(@Noodle1002)です。Wordpressはサーバーを用意してインストールするタイプのブログです。FC2ブログやLivedoorブログ、はてなブログなど主要なブログサービスは各社有名な企業がシステムを運営しており、セキュリティ面でもある程度信頼性が高いですよね。Wordpressはほぼ全て自分で管理しなければならないので、ID・Passwordだけじゃなくセキュリティ全般には気をつけないといけません。

そこで今回はSecure WordPressというプラグインを導入してWordpressのセキュリティ面を強化したいと思います。

Secure WordPressでセキュリティ強化の手順

まずSecure WordPressをインストールしましょう。ダッシュボードからプラグインの新規追加が簡単に行えますが、プラグインファイルをダウンロードしてから適用する場合は以下のリンクからどうぞ。

ダウンロードはこちら:Secure WordPress

インストールが無事完了して有効化しますと「設定」のメニューに「Secure WP」という項目が追加されているかと思いますので早速設定しましょう。

Secure WordPressの設定

日本語対応がうれしいですね。

とはいえ、デフォルトのままでも十分対策されるようですので特にすることはありません…が、一番上の「エラーメッセージ」の箇所にチェックを入れておきましょう。

WordPressのログイン画面は、入力にエラーがあった場合、ID・Passwordいずれかが間違っていることを示すエラーメッセージを表示させます。これ実は「IDは合ってるけどPasswordが間違ってるよ」とログインしようとしている者へ知らせてしまうんですね。「あ、IDは合ってるんだ」と認識されてしまうと、あとクラックしないといけないのはPasswordだけ…なんてコトになってしまい、セキュリティが低下してしまいます。なので上記の項目にチェックを入れることで、そのエラーメッセージを表示させないようにするのです。便利ですな。

Secure WordPressの設定

  • [エラーメッセージ]
    WordPress ログイン時のツールチープとエラーメッセージを無効にする。※前項で解説しましたね。
  • [WordPress バージョン]
    WordPress バージョンを削除。※Wordpressはverによって脆弱性がある場合があるので。
  • [バックエンドの WordPress バージョン]
    プラグイン編集権限のあるユーザーにのみバージョンを表示。※これもver毎の脆弱性対策に
  • [index.php]
    /plugins/ と /themes/ に index.php ファイルを作成し、ディレクトリ一覧を非表示にする。※悪意あるユーザーに使用しているプラグインやテーマファイルを知られないように。
  • [Really Simple Discovery]
    フロントエンドの wp_head の Really Simple Discovery リンクを削除。
  • [Windows Live Writer]
    フロントエンドの wp_head の Windows Live Writer リンクを削除。
  • [コア更新]
    管理者以外は WordPress コア更新通知を削除。※管理者1人なら意味はないかな。
  • [プラグイン更新]
    管理者以外はプラグイン更新通知を削除。※管理者1人なら(ry
  • [テーマ更新]
    管理者以外はテーマ更新通知を削除。※管理(ry
  • [スクリプト/スタイルのバージョン]
    フロントエンドの url フォームスクリプト/スタイルシートの WordPress バージョンを削除。
  • [悪意あるクエリをブロックする]
    悪意あるクエリをブロック。※そのままやね。

上記メニューはその殆どにデフォルトでチェックが入っています。自分の好みに合わせて…といいたいところですが、よりセキュアなブログを目指すのであれば全部チェックしておいてもいいでしょう。ということで、ほぼインストールするだけでセキュリティ強化ができるSecure WordPress、ぜひインストールしておきましょう。

それでは、これにて。


コメントを残す