こんにちは、のっくん(@yamagablog)です。
今日はワードプレスを安全に管理するためのプラグインを4種類ご紹介します!
ワードプレスのサイトがハッキングされないためにもしっかりとセキュリティ対策をしましょう。
目次
WPS Hide Login
WPS Hide Loginは非常に軽いプラグインで、ログインフォームページのURLを安全に変更できます。
ページのリクエストを受け取って他のURLに飛ばすだけなので、面倒な設定は一切必要ありません。
URLを書き換えた場合にはログインページのアクセスできなくなるため、URLをブックマーク登録すると便利です。
元に戻したい場合は、このプラグインを無効にするだけで元の状態に戻すことができます。
デフォルトだとブログのドメイン名が分かってしまうと誰でも管理者画面にアクセスできるようになります。
攻撃するための入り口が分かってしまうと、ブルートフォース攻撃(よく使われているID、PWのリストで総当たりする)の被害を受けてしまうので、まずは入口を隠すことがセキュリティ上大事になります。
Login rebuilder
このプラグインも同様にログインのURLを書き換えられるものです。
私もこのプラグインを使っています。
開発者が日本人なので、日本語で説明が書かれているのが嬉しいです。
iThemes Security(formerly Better WP Security)
ワードプレスのサイトを守るための30以上の機能を提供してくれるプログインです。
以下のセキュリティ機能を提供してくれます。
退席中モード
自分が編集する時間以外の時間を編集できないようにするモードです。
編集する時間が決まっていれば良いですが、そうでない場合には設定しなくても良いでしょう。
ファイルの改ざんの検出
ファイルが改ざんされたのを検知してくれる機能です。
分割してスキャンすることで、スキャン速度を上げているそうです。
データベースのバックアップ
データベースをバックアップしてくれる機能です。
手動でもバックアップできますし、あえてこの機能を使う必要はないと思います。
ブルートフォースの保護
ログインの試行回数を設定できます。
回数を少なくすればセキュリティは向上しますが、自分がログインできなくなる場合もあるのでその辺はトレードオフです。
禁止ユーザの設定
IPアドレスレベルでアクセス制限をかけることができます。
ブルートフォース攻撃が来ている場合にはIPアドレスを記載することでブロックすることが可能です。
Google Authenticator
管理者ページはデフォルトで、IDとPWによるログインですが、Google Authenticatorを使うと、二段階認証が可能になります。
二段階認証ではIDとPWに加えて、スマホのGoogle Authenticatorアプリに表示される番号を入力する必要があります。
Google Authenticatorアプリを入れたスマホを持っていないとログインできなくなるので、セキュリティ強度は格段に上がります。
WordPressにプラグインを入れるのに加えて、スマホにGoogle Authenticatorのアプリを入れることで利用できます。
iPhone場合は、以下のアプリになります。
https://apps.apple.com/jp/app/google-authenticator/id388497605
管理画面のハッキングが心配な方は、このプラグインを入れれば安心ですよ。
