WordPressには必須のセキュリティ系プラグインです。(公式プラグイン)
エックスサーバーではWordpress簡単インストールした際、標準でインストールされています。
もちろん他のサーバーでもインストール可能です。
項目は14ありそのうち8つは最初から設定されてますので、残りの6つを設定していきます。
ログインURL変更
ログインURL(https://ドメイン/wp-admin)のwp~adminを変更する。
注意点としてリダイレクト設定に必ずチェックを入れる。
2段階認証
GoogleAuthenticatorアプリでのデバイス登録が必要です。
登録したデバイスに表示される6桁のコードで認証される。
画像認証追加
有効化したフォームに画像認証が追加される。
管理画面アクセス制限
管理画面にログインしていないIPアドレスがwp~admin/移行のアクセスを試みた場合拒否します。
REST API無効化
REST APIとはWeb API の構築方法に関するルールとガイドラインの集まりです。詳しくはこちら
APIを悪用されれないようにするためですが、インストールしたプラグインはAPIの利用を許可するため「除外プラグイン」に移動させる必要があります。
シンプルWAF
WordPressに対する様々な攻撃を遮断し、403エラーを表示します。
サーバー側でWAFを有効にしている場合は有効にしてはいけません。
XML-RPC無効化
XML-RPCとはネットワークを通じて別のコンピュータに処理を依頼する遠隔手続き呼び出し(RPC:リモートプロシージャコール)の仕様を定めた標準の一つ。メッセージの記述にXMLを、データの送受信にHTTPを利用します。
この機能を使った不正ログインを無効化します。
ユーザー名漏えい防止
「https://ドメイン/?author=1」でアクセスした時に、ユーザー名が表示されてしまうので、これを防ぐための設定です。ユーザー名が表示されず、「404 Not Found」のページが表示されます。
設定ファイルアクセス防止
WordPressで重要な設定ファイル(wp-config.php、.htaccess)へのアクセスを防ぎます。
必須です。
コメント