ワードプレス関連の役立つ情報をまとめています。WordPressプラグイン、WordPressテーマ(テンプレート)の情報をわかりやすく紹介します。

iThemes Security - 高度なセキュリティ対策とDBバックアップができるWordPressプラグイン

このエントリーをはてなブックマークに追加

記事公開 2014.04.14

最終更新 2016.12.30

iThemes Securityは、高度なセキュリティ対策とデータベースのバックアップができるプラグインです。1つのプラグインで様々なセキュリティ対策を施すことができます。

このプラグインは、設定項目が多いので慣れるまでに少し難しく感じるかもしれませんが、慣れてしまえば使いやすいプラグインです。下記にプラグインの機能の説明をまとめました。WordPressのセキュリティ対策を強化したい方は参考にして下さい。

ちなみに、このプラグインは、wpXレンタルサーバー などの独自のセキュリティ対策やキャッシュ処理が施されているレンタルサーバーでは利用しない方がよいです。セキュリティ対策の機能が競合する場合があります。通常のレンタルサーバーで利用すると良い感じです。

はじめに

このプラグインで出来るセキュリティ対策

  1. WordPressのセキュリティの状態を確認できる。優先順位別に対策を提示してくれる。
  2. 推測されやすい「admin」のユーザーネームとユーザーIDの番号を変更できる。
  3. データベースの定期バックアップを登録できる。データの保存先は「メール送信」「サーバー上に保存」を選択できる。
  4. 脆弱性スキャンと思われる大量の404エラーを検知して管理画面をロックできる。
  5. WordPressの管理者が管理画面を利用しない時間帯に管理画面をロックできる。
  6. サーバー上にあるファイルの変更を検知し、定期的にメールやログ画面で変更履歴を知らせてくれる。
  7. WordPressのログイン画面のスラッグを変更してログイン画面を他者から隠すことができる。
  8. WordPressのシステムファイル(関連ファイル)を保護できる。
  9. 不審なクエリー文字列をフィルターできる。
  10. ユーザーエージェントを判別してbotが投稿するスパムコメントを拒否できる。
  11. アップロードディレクトリ上でのPHP実行を無効化できる。
  12. BAN機能あり。拒否したいユーザー及びbotのIPアドレスを指定して接続を拒否できる。
  13. HackRepair.com のブラックリストを基に悪意のあるユーザーやbotを自動的に拒否できる。
  14. ログイン試行回数の制限ができる。不正を検知すると管理画面をロックできる。(ブルートフォースアタック対策)
  15. 【上級者向け】 WordPressのコンテンツが格納されている「wp-content」のディレクトリ名を変更できる。
  16. 【上級者向け】 WordPressのデータベースのテーブル接頭辞(Prefix)を変更できる。

インストール方法

管理画面から検索してインストールして下さい。もしくは、WordPress.org からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「iThemes Security」で検索
  2. WordPress.org からダウンロード

プラグインの名称が変わりました

このプラグインは、名称が変わりました。以前は「Better WP Security」という名称でした。外観は少し変わっていますが、基本的な機能は以前と似ています。

使用上の注意点

このプラグインは、初心者向けではありません。セキュリティ対策の設定項目が沢山あるので難易度は高めです。WordPressに詳しい人のみ利用して下さい。レンタルサーバーの環境によっては、エラーが発生したり、元に戻せなくなる可能性があります。

初めてこのプラグインを利用する方は、いきなり本番サーバーで利用しないで下さい。本番環境と同じようなテストサーバーを用意し、そこで試した上で本番サーバーで利用して下さい。

プラグインの設定

管理画面の場所

このプラグインの管理画面は下記の場所にあります。

WordPress管理画面 > Security

インストールすると表示されるメッセージ

プラグインを有効化すると、画面上部にメッセージが表示されます。
「Secure Your Site Now」をクリックして初期設定の画面に進みましょう。

インストールすると表示されるメッセージ

プラグインの初期設定

次にプラグインの初期設定画面が表示されます。各ボタンをクリックすると、セキュリティ対策の設定変更が簡単にできます。

プラグインの初期設定

補足説明

  1. あなたのサイトをバックアップする。
  2. ファイルアップロードを許可する。
  3. 初期設定のセキュリティ対策を適用する。
  4. 匿名データ提供に協力する。

iThemes Security ダッシュボード

プラグインのダッシュボードに、あなたのWebサイトのセキュリティの問題点が優先順位別に表示されます。右側に表示されている「Fix it」ボタンをクリックしてセキュリティ対策の設定画面に進みましょう。

High Priority(優先順位:高)と Medium Priority(優先順位:並)は、セキュリティ対策として必須なので設定を変更しておきましょう。(※BackupBuddyは有料プラグインの広告なので必須ではありません)

ちなみに、WordPressのインストール状態によって、セキュリティ・ステータスに表示される内容は異なってきます。説明に使用しているのは、WordPress3.8.2をロリポップのレンタルサーバーにインストールした環境を利用しています。

iThemes Security ダッシュボード

High Priority(優先順位:高)

プラグインに表示される優先順位が最高レベルの項目に対して説明します。ここに表示される内容は、直ぐにでも対策を行うべき内容です。

01. 推測されやすい管理者のユーザー名を変更

WordPressの管理者ユーザーに「admin」が存在すると、変更を促すメッセージが表示されます。このデフォルトの「admin」は、推測されにくいユーザー名に変更しておきましょう。ユーザー名「admin」やユーザーID「1」番は、そのまま使用していると、不正ログインの危険に晒されたままの状態です。

推測されやすい管理者のユーザー名を変更する

メモ

変更するユーザー名は、忘れないように何かにメモしておきましょう。ログイン名を変更すると、自動的にログアウトされた状態になります。変更したユーザー名とパスワードで再ログインする必要があります。

02. データベースの定期バックアップ

データベースの定期バックアップ処理を登録できます。バックアップの保存先は、メール送信又はサーバー上のディレクトリに保存できます。もしもの非常事態に備えて、データベースのバックアップは、必ず定期的に実行するようにしましょう。

データベースの定期バックアップ処理を登録する

メモ

ちなみに、データベース容量が大きいサイトの場合は、サーバー上のディレクトリに保存するように設定しましょう。

ログイン試行回数の制限

WordPress管理画面のログインの試行回数を制限できます。パスワード認証に複数回失敗すると、管理画面をロックしてパスワードの解析及びサイトの乗っ取りを防ぐ効果があります。この設定は Important First Steps の設定で有効化されます。

専門用語で説明すると、ブルートフォースアタック対策(総当たり攻撃)でパスワードを解析する手法を防ぐ効果があります。

ログイン試行回数の制限

Medium Priority(優先順位:並)

プラグインに表示される優先順位が「並」レベルの項目に対して説明します。この項目は必須ではありませんが、可能であればセキュリティ対策を適用しましょう。

03. 大量の404エラーを検知して管理画面をロック(404 Detection)

脆弱性スキャンと思われる、大量の404エラーを検知すると管理画面をロックできます。

大量の404エラーを検知して管理画面をロックする

05. 退出モード(Away Mode)

WordPressの管理者ユーザーが寝ている時間帯や業務時間外に管理画面をロックして、管理画面に誰もログインできなくすることができます。

WordPressを24時間ログインできる状態にしておくと、24時間危険に晒された状態になります。管理者が明らかにWordPressを利用しない時間帯をログインできないようにすることで、セキュリティを向上させることができます。

退出モード

メモ

上記の機能を利用すると、一時的に管理画面に完全にアクセスできなくなります。どうしても管理画面にログインする必要がある場合は、FTPソフトでログインしてプラグインのディレクトリ名「/wp-content/plugins/better-wp-security/」を変更して下さい。そうすとリンク切れの状態になるのでプラグインが強制停止されます。ブラウザからもアクセス可能になります。

06. ファイル変更検知(File Change Detection)

サーバー上にあるファイルの変更を検知し、定期的にメールやログ画面で変更履歴を知らせてくれる機能です。自分が変更した内容も通知されます。ファイルの変更履歴に問題がないか定期的に確認しましょう。

ファイル変更検知

07. ログイン画面を隠す(Hide Login Area)

WordPressのログイン画面のスラッグを変更して、WordPressの管理画面を他者から隠すことができます。他者はログイン画面がどこにあるか分かりにくくなります。

ログイン画面を隠す

08. システムファイル保護(Protect System Files)

WordPressのシステムファイル(関連ファイル)へのアクセスを保護できます。保護対象は下記の通りです。

システムファイル保護

保護対象

readme.html
readme.txt
wp-config.php
install.php
wp-includes
.htaccess

09. 不審なクエリー文字列をフィルター

不審なクエリー文字列(query string)をフィルタリングできます。

不審なクエリー文字列をフィルター

10. コメントスパム対策

ユーザーエージェントを判別してbotが投稿するスパムコメントを拒否できます。

コメントスパム対策

11. アップロードディレクトリ上でのPHP実行を無効化

アップロードディレクトリ上でのPHP実行を無効化できます。悪意のあるスクリプトの実行を防ぐことができます。

アップロードディレクトリ上でのPHP実行を無効化

Low Priority(優先順位:低)

セキュリティ的に優先順位は高くありませんが、このプラグインを利用すれば、下記の設定を変更することができます。必要に応じて利用しましょう。

12. 接続拒否の設定

HackRepair.com のブラックリストを基に悪意のあるユーザーやBotを自動的に接続拒否ができます。

その機能に加え、拒否したいユーザー及びBotのIPアドレスを個別に指定して接続拒否ができます。

接続拒否の設定

その他の設定

  1. 管理画面のSSL暗号化通信の設定ができる。
  2. ディレクトリブラウジングの無効化。(index.htmlが存在しない場合にディレクトリのファイルを一覧表示できる機能を無効化)
  3. HTTPのリクエストメソッドをブロックできる。
  4. 長いURLのリクエストをブロックできる。
  5. wp-config.php と .htaccess のファイル書き込み権限を削除できる。
  6. ヘッダーから外部編集ツール用のメタタグ Really Simple Discovery (RSD) を削除できる。
  7. WordPressのバージョン表示をランダム数値で出力できる。
  8. プラグインとテーマの編集エディタを無効化できる。
  9. XML-RPCの機能を無効化できる。
  10. jQueryを安全なバージョンに戻すことができる。

メモ

日本語のサイトを運用する場合は、「Non-English Characters」にはチェックを入れないようにした方がよい気がします。

上級者向け設定

プラグインのダッシュボードにある「Advanced」のタブをクリックすると、上級者向けのセキュリティ対策として、「wp-contentのディレクトリ」や「データベースのテーブルの接頭辞(Prefix)」を変更する機能があります。

使用上の注意点

下記の機能は、他のプラグインやテーマに影響を与える可能性があります。設定変更の前に必ずバックアップを行った上で設定を変更して下さい。

また、いきなり本番サーバーで利用しないで下さい。サーバー環境によっては正しく動作しない可能性もあるので、本番環境と似たテストサーバーの環境で試した上で利用して下さい。

WordPressのディレクトリ変更

WordPressのコンテンツが格納されている「wp-content」のディレクトリ名を変更できます。

WordPressのディレクトリ変更

データベースのテーブル接頭辞の変更

WordPressが利用しているデータベースのテーブル接頭辞(Prefix)の変更ができます。

チェックを入れてボタンをクリックすると、テーブル接頭辞(Prefix)が自動的にランダムな文字列に変更されます。

データベースのテーブル接頭辞の変更

まとめ

iThemes Securityは、高度なセキュリティ対策とデータベースのバックアップができるプラグインです。1つのプラグインで様々なセキュリティ対策を施すことができます。

プラグインのダッシュボードに表示される、High Priority(優先順位:高)と Medium Priority(優先順位:並)は、セキュリティ対策として重要なので設定を変更しておきましょう。(※BackupBuddyを除く)

このプラグインは、管理人が知る限りでは、セキュリティ対策のプラグインとして一番高機能で使いやすいプラグインです。

ちなみに、このプラグインは wpXレンタルサーバー などの独自のセキュリティ対策やキャッシュ処理が施されているレンタルサーバーでは利用しない方がよいです。セキュリティ対策の機能が競合する場合があります。通常のレンタルサーバーで利用すると良い感じです。

スポンサーリンク

最後までお読み頂き、ありがとうございます

この記事の内容が役に立ったと思ったらソーシャルメディアで共有してね。

このエントリーをはてなブックマークに追加

RSSフィードを購読する

follow us in feedly

関連記事

コメント

  1. この記事へのコメントはありません。

CAPTCHA


ソーシャルメディア & RSS

Twitter Facebook Google+ RSSフィード

スポンサーリンク

賢威7 - SEOマニュアル&テンプレート

新バージョンの賢威7が購入者向けに先行公開中。


賢威7の詳細&レビューはこちら