WordPressのセキュリティ強化として有名なAll In One WP Securityプラグインでできることをまとめます。
設定できることを一通りまとめただけなので、設定の方法や「この機能は絶対に有効にするべき」ということは書いてないです。
この記事では、「総当たり攻撃」から「2要素認証」の内容をまとめています。
「ダッシュボード」から「ファイアウォール」までの内容を確認されたい場合は、以下の記事を参照してください。
総当たり攻撃
WordPress サイトを無差別なログイン試行から保護するための重要なセキュリティ機能群を提供します。
ログインページの名称を変更
WordPress サイトのログインページのURLをカスタマイズして変更することができるセキュリティ機能です。この設定により、デフォルトのログインURL(通常は yourdomain.com/wp-login.php や yourdomain.com/wp-admin)を変更し、攻撃者が標準的なURLをターゲットにした総当たり攻撃を行うことを困難にします。
URLを変更した後は、新しいログインURLを使用してサイトにアクセスする必要があります。古いデフォルトのログインURLは機能しなくなるため、新しいURLを忘れないようにしてください。
Cookieベースの総当たり攻撃の防止
独自のセキュリティ対策を追加することでログインプロセスを強化します。この機能は、特定のセキュリティチェックを経たユーザーのみがログインページにアクセスできるようにすることで、ブルートフォース(総当たり)攻撃を阻止します。
ブルートフォース攻撃対策を有効化
この設定を有効にすると、サイトへのログイン試行を行う前に追加の認証ステップが必要となります。具体的には、ユーザーがログインページにアクセスする前に、特定の条件を満たす必要があります。
秘密の言葉
「秘密の言葉」は、ユーザーがログインページにアクセスするために必要なパスフレーズです。この言葉をURLに含めることで、そのURLを知っているユーザーのみがログインページに進むことができます。例えば、通常のログインURLに追加のパラメータとして秘密の言葉を要求する設定です。
転送先URL
ユーザーが「秘密の言葉」を正しく入力した後にリダイレクトされるURLを指定します。通常はログインページが設定されますが、セキュリティをさらに強化するために他のページにリダイレクトすることもできます。
サイトにパスワードで保護された投稿またはページがある
このオプションは、サイトがパスワードで保護されたコンテンツを含む場合に関連します。パスワード保護されたページを持つサイトは、特定のセキュリティ設定を考慮する必要があります。この設定を正確に反映させることで、不要なセキュリティリスクを回避しつつ、適切な保護を提供します。
サイトにAJAXを使用するテーマまたはプラグインがある
AJAXを使用するテーマやプラグインは、非同期的なWeb技術を利用しており、通常のHTTPリクエストとは異なる挙動をします。この設定は、AJAXを多用するサイトでの特有のセキュリティニーズを考慮しています。AJAXを使用するサイトでは、セキュリティ対策もそれに適したものでなければなりません。
CAPTCHA setting
ログインページ、登録ページ、パスワードリセットページ、コメントフォームなどにCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart:完全自動公開チューリングテスト)を追加してセキュリティを強化する機能です。この設定は、自動化されたスクリプトやボットによる不正なアクセス試みを防ぐために有効です。
ログインのホワイトリスト
特定のIPアドレスからのログインを許可し、その他のIPアドレスからのアクセスを制限または禁止するためのセキュリティ設定です。この機能は、信頼できる場所(例えばオフィスや自宅など)からのアクセスのみを許可し、未知のIPアドレスからの可能性のある不正アクセスを防ぐために使用されます。
404検出の設定
ウェブサイトで404エラー(ページが見つからないエラー)が頻繁に発生する場合に警告を提供する機能です。この設定は、特定の期間内に定められた回数以上の404エラーが発生したIPアドレスを自動的にブロックすることで、潜在的な不正なスクレイピングやマルウェアの攻撃を検出し防ぐために使用されます。
ハニーポット
ウェブサイトのログインフォームやユーザー登録フォームに隠しフィールドを設置することで、自動化されたスクリプトやボットによる不正アクセスを検出して防ぐためのセキュリティ手法です。ハニーポットは、人間のユーザーには見えないが、ボットには見えるトラップを設けることで、これを誘い込みブロックします。
ログインフォームのハニーポット設定
この設定は、WordPressのログインフォームに隠しフィールド(ハニーポット)を追加します。正規のユーザーはこのフィールドを見ることがなく、したがって入力もしませんが、自動化されたボットはフォームの全フィールドを盲目的に埋める傾向があるため、この隠しフィールドにデータを入力します。ハニーポットフィールドにデータが入力された場合、それは自動化されたアクセスであると判断され、そのリクエストはブロックされます。
ユーザー登録ハニーポット設定
同様に、ユーザー登録フォームにもハニーポットフィールドを設置することで、登録フォームを標的とするスパムボットや自動登録ツールを検出して防ぐことができます。ボットが隠しフィールドに情報を入力した場合、その登録試みは自動的に無効とされ、アクセスは拒否されます。
スパム防止
WordPress サイトでのスパム活動を減少させるための包括的なツールと設定を提供します。このセクションでは、コメントスパムの防止、トラックバックスパムの制御、フォームの保護など、さまざまなスパム対策機能が用意されています。
Comment spam
コメントフォームを通じて送信されるスパムコメントを自動的に検出し、防止するためのツールです。この機能は、不審なコメントやスパムと思われる投稿を効率的に識別し、それらをサイトのコメントセクションに表示させないようにすることで、サイトの品質とユーザーエクスペリエンスを保持します。
コメントスパムのIPモニタリング
メントを通じたスパム行為に関与するIPアドレスを追跡し、必要に応じて自動でブロックするためのツール群です。以下はこのセクションに含まれる具体的な機能の詳細です。
Auto block spammer IPs
この機能は、コメントスパム行為を行ったと判断されるIPアドレスを自動的にブロックするオプションです。システムは特定の基準(例えば短期間に多数のスパムコメントを投稿する行為など)に基づいてスパム行為を行ったと見なされるIPアドレスを検出し、それらのIPアドレスからのアクセスを自動的に禁止します。これにより、スパム発生のリスクを効果的に低減し、サイトの保守管理の手間を削減します。
List spammer IP addresses
この設定は、過去にスパム行為に関与したと記録されたIPアドレスのリストを表示します。管理者はこのリストを参照して、どのIPアドレスがスパム行為に関与しているかを確認でき、必要に応じて追加の対策を講じることができます。リストは定期的に更新され、新しいスパム行為に関与したIPアドレスが追加されると同時に、誤ってブロックされたかもしれないIPアドレスを見直す機会も提供します。
Spammer IP address results
「Spammer IP address results」は、特定のIPアドレスに関連するスパム行為の詳細な記録や統計を表示する機能です。これには、そのIPアドレスから投稿されたコメントの数、スパムと判断されたコメントの具体的な内容、その他関連する活動の詳細が含まれます。この情報を用いて、管理者はより具体的なセキュリティポリシーを策定し、不正行為に迅速かつ効果的に対応することが可能です。
スキャナー
WordPress サイトのセキュリティ状態を定期的にチェックし、潜在的な脆弱性や不正な変更を検出する機能を提供します。ファイル変更監視、マルウェアスキャン、およびデータベースの安全性チェックが含まれています。これにより、サイトのセキュリティを継続的に監視し、問題を早期に発見して対処することが可能になります。
File change detection
WordPress サイトのファイルに対して行われた変更を検出し、管理者に通知するためのツールです。この機能は、サイトのファイルシステムを定期的にスキャンして、前回のスキャン以降に発生したファイルの追加、削除、または変更を検出します。
マルウェアスキャン
WordPress サイトのファイルを定期的にスキャンして潜在的なマルウェア、ウイルス、その他の悪意あるコードの存在を検出し、報告するためのツールです。この機能は、サイトの安全性を維持し、早期にセキュリティ問題に対処することを目的としています。
Tools
WordPress サイトのセキュリティ管理を支援するさまざまな便利なツールがあります。
パスワードツール
入力されたパスワードの強度を評価するツールです。
WHOIS 検索
入力されたIPアドレスまたはドメイン名の所有者情報を取得できるツールです。
カスタム.htaccessルール
.htaccess ファイルをカスタマイズし、追加のセキュリティルールや設定を適用できるツールです。
訪問者ロックアウト
All In One WP Securityプラグインを使って表示できるメンテナンスモードのようなものの切り替えを行うツールです。
ロックアウトを有効にすると管理者ユーザー以外からのサイト閲覧が出来ないようになります。
有効化中に表示される内容は、管理者ユーザーからログアウトするか、シークレットウィンドウなどで確認することができます。
表示されるメッセージなどの編集も可能です。
2要素認証の設定
WordPress サイトのセキュリティを強化するために、ログインプロセスに追加の認証ステップを導入する機能です。
