『All In One WP Security & Firewall』の設定について

『All In One WP Security & Firewall』プラグインはセキュリティ系のWordPressプラグインです。
最近多い不正アクセス。特にWordPressログイン画面へのパスワード総当たり攻撃やデータベースの改ざんによる広告の埋め込みが常態化してきました。

これらの問題に対してこの『All In One WP Security & Firewall』プラグインで
不正アクセスへの対策を行う事ができます。

しかし、すべて英語表記のため詳細な設定に関してはこのプラグインを紹介されている
サイトを参考に設定していきます。

 

All In One WP Security & Firewallを導入してWordPressのセキュリティ対策を行いました

WordPressのセキュリティを強化する – さくらサポート情報

All In One WP Securityの設定方法

『All In One WP Security & Firewall』のインストールと設定方法

 

このプラグインでできること

WordPressバージョン情報の非表示
投稿の表示名やパスワード強度の確認
ログイン試行回数制限
データベースの接頭辞の変更
データベースの自動バックアップ及び手動バックアップ
ディレクトリやファイルパーミッションの監視
インストール関連ファイルのアクセス禁止
IP・ユーザーエージェント ブラックリストでのアクセス拒否
ファイアウォール機能
XMLRPC機能の無効化
ブルートフォースアタック対策のログインURL変更
コメントスパム対策の投稿認証(Captcha)機能
コメントスパム対策のSpambotブロック機能
ファイルの改ざん監視、マルウェア、データベーススキャン
メンテナンスモードへの切替機能
「右クリック」「テキスト選択」「コピー」を禁止

 

WordPressバージョン情報の非表示

Settings > WP Version Info 「Remove WP Generator Meta Info」にチェック

投稿の表示名やパスワード強度の確認

User Accounts > Display Name ユーザー名と表示名が一緒だと赤の警告文字が表示される。その場合は見直しが必要
User Accounts > Password 「Start typing a password.」欄にパスワードを入力することで強度の確認ができる

ログイン試行回数制限

User Login > Login Lockdown
初期状態では「5分の間に3回ログインに失敗すると60分間そのユーザーをログイン拒否する」

  • Enable Login Lockdown Feature:ログインロックの機能を有効にするか
  • Max Login Attempts:ロックされるまでのログイン試行回数
  • Login Retry Time Period (min):ロックされるまでの経過時間(分)
  • Time Length of Lockout (min):再度ログイン試行できるまでの隔離時間(分)
  • Instantly Lockout Invalid Usernames:存在しないアカウント名でログイン試行した場合、即時ロックする
  • Instantly Lockout Specific Usernames:このリストに入力されたユーザー名が使用されたら即ロックする

データベースの接頭辞(Prefix)の変更

Database Security > DB Prefix 「Generate New DB Table Prefix」にチェックして「Change DB Prefix」で変更する

データベースの自動バックアップ及び手動バックアップ

Database Security > DB Backup

「Create DB Backup Now」で手動バックアップ
「Enable Automated Scheduled Backups」にチェックで自動バックアップ

  • Backup Time Interval:バックアップを取る間隔
  • Number of Backup Files To Keep:バックアップを残す世代数

ディレクトリやファイルパーミッションの監視

Filesystem Security > File Permissions で現在のパーミッションの状況をチェックできる
「Recommended Action」ボタンが表示されている場合はクリックすることでおすすめのパーミッションに変更してくれる

インストール関連ファイルのアクセス禁止

Filesystem Security > WP File Access 「Prevent Access to WP Default Install Files」にチェック

 

IP・ユーザーエージェント ブラックリストでのアクセス拒否

Blacklist Manager > Ban Users 「Enable IP or User Agent Blacklisting」にチェック

  • Enter IP Addresses:対象のIPアドレス
  • Enter User Agents:対象のユーザーエージェント

ファイアウォール機能

Firewall > Basic Firewall Rules 「Enable Basic Firewall Protection」にチェック

▽ファイアウォールの詳細

  • htaccessファイルの保護
  • サーバー署名の無効化
  • ファイルアップロードサイドの制限(10MB)
  • wp-config.phpファイルの保護

XMLRPC機能の無効化

Firewall > Basic Firewall Rules 「Completely Block Access To XMLRPC」にチェック

ブルートフォースアタック対策のログインURL変更

 

Brute Force > Rename Login Page 「Enable Rename Login Page Feature」にチェック
「Login Page URL」に任意の文字列でログインURLを変更

コメントスパム対策の投稿認証(Captcha)機能

SPAM Prevention > Comment SPAM 「Enable Captcha On Comment Forms」にチェック

コメントスパム対策のSpambotブロック機能

SPAM Prevention > Comment SPAM 「Block Spambots From Posting Comments」にチェック

ファイルの改ざん監視、マルウェア、データベーススキャン

Scanner > File Change Detection 「Enable Automated File Change Detection Scan」にチェック

  • Scan Time Interval:スキャンする間隔
  • File Types To Ignore:無視するファイルの種類
  • Files/Directories To Ignore:無視するディレクトリ

メンテナンスモードへの切替機能

Maintenance > Visitor Lockout 「Enable Front-end Lockout」にチェック
「Enter a Message」を編集することでメンテナンスモードでの表示内容を変更できます

「右クリック」「テキスト選択」「コピー」を禁止

Miscellaneous > Copy Protection 「Enable Copy Protection」にチェック

Sidebar