WordPressのセキュリティを強化するBetter WP Securityプラグインの使い方と見方

ここ最近世界中でWordPressを使用するユーザーが増えてきている影響もあってか、それに伴って悪意のあるユーザー増えてきています。

最悪の場合、あなたのWordPressブログが乗っ取られるなんてことも・・・。

そうならないためにも、自分の身は最低限自分で守ることも必要です。

Better WP Securityプラグインの設定方法

WordPressのセキュリティを強化するプラグインはたくさんあるけれど、このBetter WP Securityが一番強力な機能を持ったプラグインだと実感しています。

今回はこのプラグインの設定方法を解説していきますが、ちょっと難しいとこもあるので、WordPress中級者以上向きだと感じています。できるだけ、細かく解説していきますが、事前にバックアップを取っておくようにしましょう。

 

１．

インストールはプラグイン名で検索すれば簡単に見つかるので、そのままインストールして、有効化してください。

 

２．

インストール完了後は以下の画像のように左側のメニューに「Security」という項目が追加されます。

３．

この「Security」をクリックすると最初に以下のような画面が表示されます。

ここで赤枠のボタンをクリックすればバックアップを取ることができます。

ここは必ず取っておきましょう。バックアップ完了後、以下のような画面になります。

ここで赤枠のボタンをクリックすると、あなたのサイトのセキュリティが甘いポイントを調べてくれます。

クリックすると以下の画面になります。

なんやら英語だらけで、何がなんだかわからなくなりますね。

これはサイトの診断項目毎の結果が羅列されています。

• 赤字＝改善が必要
• 黄色＝できれば改善したほうがいい
• 青字＝そこまで問題はないけど、改善したほうがより安全になる
• 緑字＝問題無し

緑以外は文字の右側にリンクが設置されていて、改善できる設定画面に飛びます。

飛び先は画面上部にあるタブのどれかに飛びます。

USER

ユーザー項目では、WordPressのユーザー管理について改善することができます。

普通にWordPressを使用していると初期値の「admin」になっていることがあります。

悪意のあるユーザーというのはこういう初期値のまま使用しているWordPressを狙うことが多いので必ずユーザー名は固有のものに変更しておきましょう。

また、ユーザーID番号も初期値は「１」になっているけど、１クリックで変更できるので、適用しておきましょう。

 

Away

このAWAY項目では、管理者権限でのログイン可能な時間帯を指定できます。

ここで指定した時間帯はログイン不可になるため、セキュリティが高まります。

私は「毎日午前３時～７時はログイン不可」にしています。

「Enable Away Mode」にチェックを入れるとこの機能が有効になります。

「Type of Restriction」で「Daily（毎日）」なのか「One Time（とある１日の特定の時間）」かを指定できます。

ここで「Daily」を選択すると以下にある年月日は無視されます。

 

Ban

この項目ではアクセスをさせないIPアドレスを指定できます。

以下の「Enable Default Banned List」をクリックすると機能が有効になります。

以下のリストに登録されたIPアドレスからサイトへのアクセスを遮断することができます。

迷惑なユーザーや悪意のあるユーザーのIPアドレスがわかる場合は、設定しておきましょう。

Dir

この項目ではWordPressをインストールしたディレクトリの名前を変更できます。

９割以上の人は初期値の「wp-content」のままなので、攻撃しやすい状態となります。

ただし、この項目は気軽に変更すると閲覧不可能になることがあるので、必ずバックアップを取った後に実施してください。

Backup

ここでは、バックアップの扱いを設定できます。

「Create Database Backup」をクリックすると手動バックアップを取ることができます。

手動ではやらないとしてもスケジュールに従ってバックアップを勝手に取るようにすることも可能です。

バックアップしたデータはWordPressで設定してあるメールアドレスにメールで届きます。

Prefix

ここでは、WordPressのデータベースの名称の頭に必ずついている単語をランダムなものに変更することができます。

これを実施することで侵入される可能性も下げることができるので効果的。

Hide

ここを有効にすることで、WordPressの管理画面やログイン画面を悪意のあるユーザからの表示を防止することができます。

「Enable Hide Backend」＝機能を有効にすることが可能

「Register Slug」＝新しいログイン画面のURL

Detect

ここでは４０４エラー、ファイル変更のセキュリティを指定できます。

「Blacklist thres」セキュリティが向上されます。

Login

ログイン画面での回数を指定したり、条件にヒットしたユーザーをブラックリストへ登録することも可能。

例えば自分でパスワードを忘れてしまい、複数回ログインを実施すると、ブラックリストに登録されてしまうこともあります。

Tweaks

ここではその他のセキュリティに関する設定を設定できます。

非常にたくさんの項目があるけど、「Filter Non-English Characters」という項目以外はチェックを入れておいて大丈夫です。

最後に

このプラグインは紹介した項目意外にもいろんな設定が可能です。Google翻訳で検索しながら必要かどうか確認してみてください。基本的にはご紹介した項目を設定するだけでも十分セキュリティは向上しています。

このようなプラグインを設定するときは、事前にバックアップを取ることを忘れないでください。

 

このプラグインをしっかりと設定しておけば、他のセキュリティ系のプラグインは不要となります。面倒でもしっかりと設定しておきましょう。