Better WP Securityは、WordPressのセキュリテイ対策を一元管理できるプラグインです。データベースのバックアップ機能もあります。

高度なセキュリテイ対策をプラグインの管理画面上から一元管理できます。セキュリテイ対策のプラグインとしては、一番高機能で使いやすいです。

あえてこのプラグインの難点をあげるとすれば、Better WP Securityは、全ての管理画面が全て英語表記です。英語が苦手な人や、Web開発の知識が無い人が利用するのには向いていません。

追記

このプラグインは「iThemes Security」に名称が変更になっています。
画面のデザインや機能が少し変更になっているのでご注意下さい。

プラグインのリニューアルに伴い、記事を新しく書き直しました。
この記事の内容は古くなっています。下記の記事を参考にして下さい。

新しく書き直した記事

iThemes Security – 高度なセキュリティ対策とDBバックアップができるWordPressプラグイン

はじめに

事前に必ずバックアップをお取り下さい!

このプラグインを利用する際は、事前に必ずWebサイト全体のバックアップをお取り下さい。また、いきなり本番サーバーで利用しないで下さい。テストサーバーなどで試してみてから利用して下さい。

このプラグインでできるセキュリテイ対策

  1. 簡易セキュリテイチェック。(赤文字で表示される項目は要変更!)
  2. 管理者ユーザーのユーザーネームとユーザーID番号の変更。
  3. wp-contentディレクトリのディレクトリ名の変更。
  4. データベースのバックアップ機能。(バックアップデータはメール送信)
  5. データベースのテーブルの接頭辞(Prefix)の変更。
  6. 管理者がWordPressの管理画面を使用しない時間帯に管理画面のログイン機能を停止できる。管理画面を使用する時間帯を限定することでセキュリティを向上させる。
  7. ブラックリスト(BAN)機能あり。拒否したいユーザー及びBotを指定できる。
  8. HackRepair.comのブラックリストを基に悪意のあるユーザーやBotを自動的に拒否(BAN)できる。
  9. 404エラーを利用した脆弱性スキャンや不正ファイル操作の検知。不正を検知すると管理画面をロックする。
  10. ログイン試行回数の制限。不正を検知すると管理画面をロックする。(ブルートフォースアタック対策)
  11. SSL暗号化通信の設定。
  12. セキュリティ向上の為のサーバー設定の微調整。

使用上の注意(重要)

  1. このプラグインは、初心者向けではありません。WordPressに詳しい人のみ利用して下さい。
  2. このプラグインを利用すると、Webサイト全体的に影響を与える変更が加えられます。設定変更は慎重に行い下さい。
  3. WordPressの設定ファイル(wp-config.php)や管理者ユーザーを自分で変更できないレンタルサーバーでは、このプラグインは利用しないで下さい。

インストール方法

管理画面から検索してインストールして下さい。もしくは、WordPress.org からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「Better WP Security」で検索
  2. WordPress.org からダウンロード

プラグインの設定

Better WP Securityの管理画面は、非常に多くの機能があるので、全ての機能を説明しきれません。重要と思われる機能に絞って説明します。

最初に表示される画面

Better WP Securityをインストールすると、最初にデータベースのバックアップを促すメッセージが表示されます。プラグインの設定を変更する前に、まずはデータベースのバックアップを行いましょう。

Better WP Security

簡易的な脆弱性スキャン

データベースのバックアップが完了すると、次に「簡易的な脆弱性スキャン」を行います。ここでスキャンした結果がダッシュボードに表示されます。

better-wp-security_img02

ダッシュボード(Dashboard)

ダッシュボードでは、WordPressの脆弱性のスキャン(模擬的な攻撃をかけて脆弱性を探す)ができます。赤文字で表示される項目は、直ぐにでも対応すべき内容です。すぐに設定を変更しましょう。

Better WP Security

管理者ユーザー変更(Change Admin User)

WordPressの初期設定では、管理者ユーザーは、ユーザーID番号が1番の「admin」になっています。ハッカーや悪意のあるスクリプトを書く人は、このadminユーザーを乗っ取る若しくは攻撃する場合が多いです。ユーザー名とID番号を変更することで、セキュリティを向上させます。

Better WP Security

管理者退出モード(Administor Away Mode)

Administor Away Modeは、管理者ユーザーが外出していたり、寝ている時間帯に管理画面にログインできなくするモードです。WordPressを24時間ログインできるような状態にしておくと、24時間危険に晒された状態になります。管理者が管理画面を使用しない時間帯をログインできないようにすることで、セキュリティを向上させます。

Better WP Security

禁止ユーザー(Ban Users)

IPアドレスやユーザーエージェントを基に接続を禁止したいユーザーを拒否することができます。HackRepair.comが管理するブラックリストを基に悪意のあるユーザーを拒否することもできます。

Better WP Security

wp-contentディレクトリ変更(Change wp-content Directory)

WordPressのデータが保存されている「wp-contentディレクトリ」を任意のフォルダ名に変更できます。wp-contentディレクトリを変更することで「悪意のあるスクリプトの攻撃」や「ファイルの不正操作」を防ぐ効果があります。

Better WP Security

データベースのバックアップ(Backup WordPress Database)

WordPressのデータベースを指定したスケジュールでバックアップすることができます。バックアップデータは、指定したメールアドレス宛に送信されます。

Better WP Security

データベースのプレフィックス変更(Change Database Prefix)

データベースのテーブルの接頭辞(Prefix)をランダムな文字に変更することができます。テーブルの接頭辞(Prefix)をランダムな文字に変更することで「悪意のあるスクリプトの攻撃」や「データベースの不正操作」を防ぐ効果があります。

Better WP Security

管理画面のURLの変更(Hide WordPress Backend)

ログイン画面や管理画面などのURLを変更することができます。URLを変更することで、悪意のある攻撃を行う不正ユーザーから管理画面を隠す効果があります。

Better WP Security

不正侵入検知(Intrusion Detection)

「多数の404エラー」や「ファイル変更」を検知することができます。不正侵入を検知すると管理画面をロックすることができます。不正を繰り返すユーザーをブラックリスト(Ban Users)に登録する機能もあります。

「Blacklist Threshold」は、「1」にすると、不正侵入を1回検知すると、自動的にブラックリスト(Ban Users)に登録します。

Better WP Security

ログイン試行回数制限(Limit Login Attempts)

ログイン試行回数制限の設定や、管理画面のロックアウトの設定ができます。不正ログインを繰り返すユーザーをブラックリスト(Ban Users)に登録する機能もあります。

「Blacklist Threshold」は、「1」にすると、不正ログインを1回検知すると、自動的にブラックリスト(Ban Users)に登録します。

Better WP Security

暗号化通信の設定(SSL)

もし、SSLを利用する場合は、SSLのオプションを変更しましょう。SSLを利用しない場合は、ここは変更する必要がありません。

セキュリティ関連の様々な微調整(Various Security Tweaks)

この画面の設定項目は、「Filter Non-English Characters」以外は全てチェックを入れて有効にした方が良いです。セキュリティ関連の様々な設定を変更できます。

まとめ

Better WP Securityは、WordPressのセキュリテイ対策を一元管理できるプラグインです。非常に高機能なプラグインです。WordPressのセキュリティ対策は、このプラグイン1つで大丈夫なくらいです。

こんな高機能で便利なセキュリティ対策のプラグインが無料で提供されているのが信じられません。このプラグインを気に入った方は、開発者支援の寄付をしてみると良いかもしれません。

このプラグインは、WordPress全体に影響を与える設定変更が簡単にできます。しかし、初心者が使い方を誤ると、エラーが発生したり、元に戻せなくなる恐れがあります。このプラグインを使用する際は、慎重に設定変更を行い下さい。

スポンサーリンク