WordPressで必要なセキュリティ対策を行う

WordPressを運用するにあたり、最低でもこれくらいは設定しておいたほうがいいというものを記載しておこうと思います。

というのも、このサイトもWordPressなのですが僕の思う最低限のセキュリティ対策を行っていました。そして、つい最近このブログにもアタックがありまして1時間に118回のログインが施行されました。

以下の画像からもわかる通り、月間で結構な数の不正アクセスが記録されています。

僕はある程度プラグインを入れて多要素認証が必須にしており、その他もある程度設定で保護していました。そのためすべてブロックできていたのですが、改めて必要なセキュリティ対策を見直しました。

これだけでも入れたほうがいいセキュリティプラグイン

Wordfence Security

ワンタイムパスワードをWordPressで利用できるようにするために導入。
その他、ログインロック（ブルートフォース保護）や細かいセキュリティ設定を実施。All Options内の設定は必ず一読しよう。導入必須です。

設定を行えばreCAPTCHAv3の利用が可能。その他ファイアウォール設定や、セキュリティスキャン、ログインされたIPや国などのダッシュボードでのレポート、アラートメールの設定など、様々なセキュリティに対する設定が無料で利用できます。
プレミアムプランに入ることでさらに高度な設定も可能。

WordPressでブログなどの運用を行うにあたり、デフォルト設定のままというのはID/パスワード認証だけです。管理者アカウントと投稿アカウントを同じで運用していたりすると、アタックしてくださいといっているようなものです。

そこで、多要素認証が行えるようにプラグインとして、Wordfence Securityを導入しました。英語のプラグインなのでブラウザ翻訳しながら利用しました。

SiteGuard

SiteGuard WP Plugin はログインURLを変更するため導入。
ついでにいくつか有効にしました。
・ログイン時に日本語の画像認証を追加。
・ログインエラーメッセージの単一化
・XMLRPC無効化。これはWordfenceのほうがもうちょっと高度なことができる。

このプラグインは、主にログインURLを変更するために利用しました。
管理ページのアクセス制御や画像認証などなどをWordPressに追加します。
機能の一覧は、https://www.jp-secure.com/siteguard_wp_plugin/から確認することができます。

Wordfenceと機能が被っているところがあるので、どちらを使うか決めて設定しましょう。基本的にWordfenceのほうが詳細に設定できたので、ほしいところだけこのプラグインで有効にしました。

おわり

wordpress.comを利用していればサービスが提供してくれている多要素認証の機能を利用すれば簡単にセキュリティ保護できるとは思いますが、自分でWordPressを立てている場合、セキュリティ対策は必須です。

サイトにアタックを受けて不正アクセスを許すと閲覧しているユーザーにまで影響が出てしまうため、必ず自分のWordPressにはセキュリティ対策を施しましょう。