節約ブログ「こはらいふ」
初期設定

【初期設定】最初にやっておきたいログイン時のセキュリティ3つ!

  /
ワードプレス設定 セキュリティ対策

 

ワードプレスはほぼ全てが自己責任・自己管理です。

  1. サーバー契約
  2. ドメインの取得
  3. ワードプレスのインストール

ここまで完了したら初めにしておきたいのはカスタマイズでも、記事を書くことでもなくセキュリティ対策!

 

わたしがサイトを立ち上げたら最初に行っている『ログインに関わるセキュリティの設定』をまとめました。

3つに絞ったので、画面を見ながらでも10分あればできます(*^^*)

大事なサイトを守るため設定をしましょう。

 

わたしが使っているサーバー
\ ロリポップ!は月500円~ /
スタンダードプラン
詳細はこちら

メタ情報をサイドバーから外す

メタ情報とは、初期のままだとPCサイドバー(スマホだとサイト下部)に表示されています。

これがメタ情報

 

メタ情報には見てのとおり、サイト管理画面にアクセス・ログインできるURLが・・・。

この情報ってユーザーには不必要なものなうえ、悪い人にアクセスされると困るのもの

表示されないように設定します。

外観>ウィジェットにすすみます。

 

サイドバー【PC】>メタ情報を開いて、『削除』をすれば完了!

 

ちゃんと消えているかサイトトップページを確認してみてくださいね。

サイドバーから削除しても、ウィジェット項目一覧には残っているので安心してください

プラグイン「Edit Author Slug」を導入

ワードプレス初期設定のままだと『http://WordPressサイトのアドレス/?author=1』と赤文字部分をサイトURLのあとに入力すると、ログインIDが表示されてしまいます。

 

当サイトでやってみると・・・。

?author=1を入力

 

初期設定のままだと、ログイン時に使用するユーザー名があらわれます。

これがURLとともに発信されていると考えると、こわいですよね。

IDがあらわれる

 

これを防ぐには「Edit Author Slug」を使用します。

ダッシュボード>プラグイン>新規追加>「Edit Author Slug」>インストール>有効化

 

有効化したら設定をしましょう。

ユーザー>あなたのプロフィールを開きます。

 

1番下のほうに「Edit Author Slug」という項目があります。

そのなかの「投稿者スラッグ」を「カスタム設定」にチェックを入れ、好きな英字を入力します。

プロフィールを更新をして完了です。

 

サイトのトップページにアクセスして「?author=1」を入力後、カスタムしたものが反映されているか確認してみてくださいね。

プラグイン「SiteGuard」を導入

ログイン時のセキュリティ向上のため「SiteGuard」を導入します。

このプラグインを有効化するだけで

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログイン詳細エラーメッセージの無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート

これらの設定ができます。

簡単にどんな機能なのかも解説しますね(*^^*)

ダッシュボード>プラグイン>新規追加>「SiteGuard」>インストール>有効化

 

SiteGuardを有効化した時点の初期設定状況です。

チェックが入っているところは、すでにONになっていると考えてください。

管理ページアクセス制限

ワードプレス以外からアクセスがあった場合に、404エラー(記事がありません)が表示されます。

初期設定ではOFFになっています。

ログインページ変更

サイト管理画面にログインするページを変更できます。

わたしは以前、不明なログイン失敗履歴が立て続けにあったとき変更しました。

画像認証

ログイン時にユーザー名・パスワードのほか、画像認証が必要になります。

ひらがなに対応しているので海外からの不正アクセスに強くなるのも嬉しいポイント!

ログイン詳細エラーメッセージの無効化

通常ならログインに失敗したとき

  • ユーザー名がちがう
  • パスワードがちがう

と、間違えた項目を教えてくれますが親切な反面、危険ですよね(;’∀’)

これを「まちがっています」とだけ表示する機能です。

ログインロック

同じIPから何回もログインに失敗した場合、一定期間ロックします。

機械などの攻撃に有効的ですが、自分が複数回まちがってもロックがかかるので気をつけましょう。

時間・回数・ロック時間が設定できます。

ログインアラート

サイト管理画面にログインがあったとき、リアルタイムでメール通知がきます。

フェールワンス

正確なユーザーID・パスワードを入力しても、ログインに必ず1回失敗する設定です。

デフォルトではOFFになっています。

ちょっとめんどくさいので、わたしもOFFにしたままです。

XMLRPC防御

  • ピンバック
  • XMLRPC

この2つを無効化する機能です。

更新通知

ワードプレスや使用テーマ・プラグインの更新通知をしてくれる機能です。

「セキュリティを強化するには最新バージョンを使いましょう」ということですね。

WAFチューニングサポート

契約しているレンタルサーバーでWAFが導入されているときに利用します。

ロリポップ!はこれにあたります。

  • WAF導入済みなら「ON」
  • WAFが未導入なら「OFF」

WAFはセキュリティ効果はたかいですが、たびたびON・OFF切換えが必要なときがあります。

なのでわたしは「ON」にしていますよ(*^^*)

ログイン履歴

ログインをしようとした形跡が一目でわかります。

日時・ログイン結果・ログイン名・IPアドレス・・・ここに身に覚えのない失敗履歴があったらすぐ対策しましょう。

  • ログインページの変更
  • ログイン名が初期設定のままじゃないか

確認してみてくださいね。

まとめ

このページに書いてある3つを設定するだけで、不正ログインを防ぐ力は強くなります。

ログイン時のセキュリティ対策
  • メタ情報を隠す
  • 「Edit Author Slug」でユーザー名を変更
  • 「Site Guard」で一括セキュリティ設定

ワードプレスをインストールしたら、まずやってみてくださいね!

つぎに、一般設定をおこないます。

優先的にやるべき4つの一般設定」を参考にしてくださいね。

ロリポップ!
わたしも利用している格安レンタルサーバー。
サイト運営に十分なスペックのプラン『スタンダード』月額500円~!

☑続くか分からない
☑初期費用の面で悩んでいる
という方に。

金銭的に余裕があるなら以下2つのサーバーが、より機能が充実しています。




\ スタンダードプラン 詳細はこちら  /
ロリポップ!


ConoHa WING(コノハウィング)
サイト表示スピードが格段に早いと、2018年秋頃から人気急上昇のレンタルサーバー。

初期費用無料!月額料金は定額制でなく、利用時間分の支払い。

期間限定でドメインが無料取得できる。



≪新登場≫国内最速・高性能レンタルサーバー
【ConoHa WING】
ConoHa WING

エックスサーバー
多くの方が利用しているレンタルサーバー。

長期契約をするほど月あたり安くなり、最安で900円(税抜)から利用できる。

4月26日までドメインが無料で取得できるキャンペーン中。

月額900円(税抜)から高速・多機能・高安定
レンタルサーバー『エックスサーバー』
エックスサーバー

セキュリティ
一緒に読まれている記事