不正アクセスが心配…
無料でセキュリティ対策できないかしら…
このような思いをお持ちの方にお勧めするのはセキュリティ対策用プラグインです。
数多くのセキュリティ対策用プラグインが存在する中、1つのプラグインで複数のセキュリティ対策を行うことができる「All In One WP Security & Firewall」は、国外を始め、日本国内のWordPressユーザーに人気の高いプラグインです。
この記事では、All In One WP Security & Firewallの初期設定方法と使い方について解説しています。
- All In One WP Security & Firewallとは
- All In One WP Security & Firewallのインストール
- All In One WP Security & Firewallの設定場所
- All In One WP Security & Firewallの初期設定
- All In One WP Security & Firewallでセキュリティ強化
All In One WP Security & Firewallとは
All In One WP Security & Firewallは、1つのプラグインで複数のセキュリティ対策を行うことができる無料のプラグインです。
All In One WP Security & Firewallでは、
- 強化
- 監視
- 制限
大まかに3つのプロセスを元にセキュリティ対策を行います。
All In One WP Security & Firewallは多くの機能を持っているため、使いこなすことができれば、他のセキュリティ対策用プラグインを導入せずとも、All In One WP Security & Firewallだけで、十分なセキュリティ対策を行うことが可能です。
All In One WP Security & Firewall(バージョン4.4.6未満)に関しては、脆弱性が報告されています。更新されていない方は更新するようにしてください。また、ご不安な方はSiteGuard WP Plugin等の別のセキュリティ対策用プラグインの利用をお勧めします。
All In One WP Security & Firewallのインストール
All In One WP Security & Firewallのインストール手順は以下の通りです。
- 左メニュー「プラグイン」から「新規追加」を選択
- 検索ボックスに「All In One WP Security & Firewall」を入力
- 項目「今すぐインストール」をクリック
- 項目「有効化」をクリック
すると、左メニュー「設定」の下部に「All In One WP Security & Firewall」項目が追加されます。
この項目でAll In One WP Security & Firewallの各設定を行います。
まずは、All In One WP Security & Firewallのインストール手順を順に解説していきます。
左メニュー「プラグイン」から「新規追加」を選択
左メニュー「プラグイン」から「新規追加」を選択します。
検索ボックスに「All In One WP Security & Firewall」を入力
検索ボックスに「All In One WP Security & Firewall」を入力します。
項目「今すぐインストール」をクリック
項目「今すぐインストール」をクリックします。
項目「有効化」をクリック
右上の「有効化」をクリックします。
これで、All In One WP Security & Firewallのインストールは完了です。
All In One WP Security & Firewallの設定場所
All In One WP Security & Firewallの設定を行うために設定場所に移動します。
All In One WP Security & Firewallの設定は、
- 左メニュー「設定」の下部に「All In One WP Security & Firewall」項目
で各設定を行います。
項目「WP セキュリティ」をクリックしましょう。
All In One WP Security & Firewallの初期設定
All In One WP Security & Firewallの初期設定について解説します。
All In One WP Security & Firewallでは1つのプラグインで複数のセキュリティ対策を行うことができます。
そのため、利用者に扱いやすい形に複数の設定項目に分かれています。
また、以下のリストの「※」にあたる項目は当サイトが推奨する設定へと変更しています。赤文字の隣の青文字をクリックすることで各項目へと移動することができます。
それぞれの設定項目の意味と初期設定について解説していきましょう。
ダッシュボード
ダッシュボードでは、All In One WP Security & Firewallで設定した内容に沿って、セキュリティ総合結果を判断し、セキュリティ強度メーター、セキュリティポイントなどのグラフやボタンで可視化してくれます。
セキュリティの内訳を分かりやすく表示してくれるため、今後のセキュリティ指標を定めやすくなります。また、各リンクをクリックすることで、各種設定へと移動することも可能です。
例えば、セキュリティ強度メーターは、All In One WP Security & Firewallで設定したセキュリティの内訳をスコアで表したもので、この結果を判断し、更なるセキュリティの強化へと繋げることができるようになります。
ロックされたIPアドレス
ロックされたIPアドレスでは、
- 左メニュー「ユーザーログイン」
- 項目「ログインロックダウン機能を有効化」にチェック
を入れることにより、本機能が作動します。
一時的にロックされた全てのIPアドレスのリストが表示されます。
永久ブロックリスト
永久ブロックリストでは、
- 左メニュー「ブラックリストマネージャー」
- 項目「IPまたはユーザーエージェントのブラックリストを有効化」にチェック
また、
- 左メニュー「スパム防止」
- 項目「スパムボットからのコメント投稿をブロック」にチェック
を入れることにより、本機能が作動します。
永久的にブロックされた全てのIPアドレスのリストが表示されます。
Logs
Logsでは、
- 左メニュー「設定」
- タブ「一般設定」
- メニュー「デバッグ設定」
- 項目「デバッグを有効化」にチェック
を入れることにより、本機能が作動します。
処理の実行時に動作状況を記録し、ログとして残します。
設定
左メニュー「設定」で行えることは、
- 一般設定(本プラグインの機能の有効化・無効化)
- .htaccessファイル(.htaccessの保存・復元)
- wp-config.phpファイル(wp-config.phpの保存・復元)
- WPバージョン情報(メタ情報の削除)
- インポート / エクスポート(本プラグインの設定のインポート・エクスポート)
以上です。
それぞれの項目について詳しく解説していきます。
一般設定
一般設定では、
- 本プラグインの一時的な無効
- 設定内容のフォーマット化
- デバッグ出力、保存
を行うことができます。
セキュリティ機能を無効にする
セキュリティ機能を無効にすることができます。
新しいプラグインをインストールしたものの、そのプラグインが動作しない場合は、本機能を利用することで、本プラグインとの相性を確認することができます。
ただし、このプラグインで有効にした設定を全て無効化してしまいます。
元に戻すことはできません。
基本的に、本機能は利用しないようにします。
ファイアーウォールのルールをすべて無効化
ファイアウォールの全てのルールを無効にします。
ファイアウォールのルールは、
- 左メニュー「ファイアウォール」
- タブ「カスタムルール」
によって、指定することができます。
追加したルールは順次、htacessファイルに記述されており、その中からもルールが削除されます。
また、全てのルールが削除されるため、元に戻すことはできません。
Reset Settings
All In One WP Security & Firewall、及び、ファイアウォールに関連する全ての設定を削除したい場合は「Reset Settings」を選択します。
また、ファイアウォール設定によって追加したルール(.htaccess)も削除されます。
要するに一括削除です。
.htaccess
htaccessファイルのバックアップの取得・復元を行うことができます。
基本的にAll In One WP Security & Firewallでアクセスを制限・管理する際には、htaccessファイルにルールを書き込みます。
恐らく、本機能に関しては、All In One WP Security & Firewallで何らかの設定を行った際のバグによるWebサイトの障害(例えば、htaccessファイルの書き換えによってサイトが表示されなくなった等)を本機能でhtaccessファイルのバックアップを取ることで回避することを目的としていると思ってます。もちろん、復元を含めてます。
筆者はガンガン使ってます。
単なるバックアップを目的とするのであればBackWPup等の全てのファイル・データベースのバックアップを取得するプラグインの方が遥かに使い勝手が良いと思います。
htaccessファイルは以下のディレクトリに保存されます。
- /wp-content/aiowps_backups
ただし、バックアップはFTPツール、または、サーバーで用意されたファイルマネージャーを用いてコピーする必要があるため、結果的に自身でhtaccessのバックアップを取るのと変わりません。
パソコンのストレージに保存できれば面白い機能になったかな…と感じます。(たぶん、アクセス権限が絡むため、無理なんだろうとは思います。)
また、本機能では、そのバックアップファイルを元に復元を行うことができます。
wp-config.php
wp-config.phpファイルのバックアップの取得・復元を行うことができます。
wp-config.phpファイルはパソコンのストレージに保存されます。
また、本機能でも、そのバックアップファイルを元に復元を行うことができます。
WPバージョン情報
WPバージョン情報ではHTML構文内のメタタグの削除を行います。
WordPressでは、全てのページの<head>タグ内にメタ情報を自動的に追加されます。
例えば、
<meta name="generator" content="WordPress 3.5.1" />ファンクションキー「F12」キーを押すだけでソースコードが見えます。
簡単にバージョン情報を取得することができるため、不正アクセス者からすると、古いバージョンを利用するWebサイトのみに的を絞ることができます。
ただし、本機能で隠すことはセキュリティ強化に繋がりません。
WordPressのバージョン、及び、プラグイン、テーマ、全ての利用環境は常に最新のバージョンに更新しておくことが前提です。
チェックを入れて「設定を保存」することで、メタ情報を隠すことができます。
インポート / エクスポート
All In One WP Security & Firewallの全ての設定内容を保存することができます。
また、その保存ファイルをインポートすることで復元することができます。
ユーザーアカウント
左メニュー「ユーザーアカウント」で行えることは以下の情報の指南です。
- WPユーザー名(ユーザー名の指南)
- 表示名(ブログ上の表示名の指南)
- パスワード(パスワードの指南)
基本的なセキュリティ対策として乏しい情報を見つけ、指南してくれます。
それぞれの項目について解説していきます。
WPユーザー名
WordPressをインストール時のユーザー名は「admin」で統一されています。
そのため、そのまま(admin)のユーザー名を利用していることはセキュリティ上では好ましくありません。
そのままのユーザー名を利用している方は、この項目でユーザー名を変更することができます。
表示名
ブログ上の表示名を変更するための指南を受けることができます。
WordPressをインストール時には、プロフィール等に表示されるブログ上の表示名が、ユーザー名となっています。
ユーザー名の漏洩に繋がるため、ユーザー名の代わりにニックネームを利用することで解決することができます。そのための指南です。
パスワード
例を挙げると「ブルートフォース攻撃」が分かりやすいと思います。
ブルートフォース攻撃は総当たり攻撃とも呼ばれているサイバー攻撃です。
例えば、3桁のパスワードであれば000から999までの全ての組み合わせをプログラムを組むことでコンピューターで正解に辿り着くまで行います。
いずれは正解に辿り着くものの、長くて複雑な記号を組み合わせた強力なパスワードであれば、多くの時間を稼ぐことができます。そのためのパスワード強度(評価)ツールです。
入力したパスワードに沿ったパスワード突破期間「年」「月」を表示してくれます。
強力なマシンと貧弱なマシンとでは演算能力に雲仙の差があるため、あくまでも目安です。
ユーザーログイン
左メニュー「ユーザーログイン」では、管理者、または、第三者によるログインページでログインを試みた際の挙動、アクセス制限を行うことができます。
それぞれの項目は以下の通りです。
- ログイン制限
- 失敗したログインの記録
- 強制的にログアウト
- アカウント利用ログ
- ログイン済みユーザー
それぞれの項目について解説していきます。
ログイン制限
ログイン制限では、ログインページにログインを試みた訪問者、管理者の挙動を指定します。
- ログインのロックダウン設定
- 現在ロックされているIPアドレス範囲
- Login lockdown IPホワイトリスト設定
それぞれの項目について解説していきます。
ログインのロックダウン設定
ログインのロックダウン設定では、ログインページにログインを試みた訪問者、管理者のロックアウト設定、エラーメッセージ、通知の設定を行います。
本機能を有効化するには、
- ログインロックダウン機能を有効化
にチェックを入れることで有効化することができます。
ロック解除リクエストを許可
ロック解除リクエストを許可することで、管理者がログインに失敗し、ロックされた場合には、メール通知で解除リクエストを送信し、再ログインすることができるようになります。
不正アクセス者はメールアドレスを知らないため、実質、管理者は二段階認証のような扱いで再ログインを行うことができます。
必ず、チェックを入れておくことを推奨します。
最大ログイン試行回数、ログイン再試行回数、ロックアウトの時間の長さ
ログインユーザーに不正アクセスを試みた場合の挙動を設定します。
それぞれの内容を組み合わせると以下のようになります。
- 「ログイン再試行時間(分)」分以内に「最大ログイン試行回数」回失敗したIPアドレスを「ロックアウト時間の長さ(分)」分間ログインできなくする
元々の設定で十分に機能します。
管理者がロックアウトした場合は前項目[ロック解除リクエストを許可]で解説したようにリクエストをメールアドレスに送信することで、直ぐにログインすることができます。
一般的なエラーメッセージを表示
不正アクセス者がログインに失敗した際には以下のようなメッセージが表示されます。
- ユーザー名の間違い
- ユーザー名〇〇〇は、このサイトに登録されていません。ユーザー名が不明な場合は、代わりにメールアドレスを入力してください。
- パスワードの間違い
- ユーザー名〇〇〇のパスワードが間違っています。
- 画像認証の間違い
- 画像認証が間違っています。
機能を「ON」にすることで、
- ログイン情報が正しくありません。
このようにログイン時に失敗した際のエラーメッセージを全て同じ内容にします。
デフォルトの状態でユーザー名、パスワード、画像認証を間違えた際には「ユーザー名〇〇〇は、このサイトに登録されていません」や「ユーザー名〇〇〇のパスワードが間違っています」等の、どの情報に誤りがあるのかを伏せることができます。
必ず「ON」に設定するようにしましょう。
ただちにロックアウトする無効なユーザー名、特定のユーザー名を即座にロックする
ただちにロックアウトする無効なユーザー名を有効化すると「特定のユーザー名を即座にロックする」の内容が反映されるようになります。
分かりやすいのは「admin」です。
WordPressの初期状態のユーザー名は「admin」が利用されており、特定のユーザー名を即座にロックするに「admin」を記載すると、ユーザー名に「admin」を入力したアクセス者は即、ロックされます。
ロック時間は、項目[最大ログイン試行回数、ログイン再試行回数、ロックアウトの時間の長さ]で紹介した「ロックアウトの時間の長さ」で指定した分数となります。
不正アクセス者のログイン施行では「admin」や「wordpress」といった推測されやすいユーザー名から施行されます。いわゆる、不正アクセス者の初期潰しです。
宜しければ、以下の情報をコピーして貼り付けて利用してください。
admin
wordpress
user
japan
server
smtpメール通知
項目[最大ログイン試行回数、ログイン再試行回数、ロックアウトの時間の長さ]や項目[ただちにロックアウトする無効なユーザー名、特定のユーザー名を即座にロックする]で設定した内容を元にロックアウトされたユーザーが現れた場合にはメール通知で知らせてくれる機能です。
不正ログイン者の存在を知るためにチェックを入れておくことを推奨します。
現在ロックアウトされているIPアドレス範囲
ダッシュボードの項目[ロックされたIPアドレス]へ誘導します。
- ロックされたIPアドレスの一覧
をダッシュボード内で確認することができます。
Login lockdown IPホワイトリスト設定
ホワイトリストを作成することができます。
例えば、
- 会社のIPアドレス
- ご自宅のIPアドレス
を指定することで、ログインロックに影響されることなく、ログイン施行を試みることができます。
ただし、固定IPアドレスの場合に限ります。
失敗したログインの記録
失敗したログインの記録では、
- IPアドレス
- ユーザー名
- ユーザーID
- ログインを失敗した日時
のそれぞれが表示されます。
また、一覧を「CSV」としてエクスポートし、ストレージに保存することもできます。
すべてのログイン記録を削除する場合は「すべてのログイン失敗記録を削除」を選択します。
強制的にログアウト
強制的にログアウトでは、ログイン時に強制的にログアウトする時間を指定することができます。
本機能は、不正アクセス者からWebサイトを保護する上でシンプルな対策の1つです。
しかし、強制的に排除する代わりに、管理者の利便性を損ねる可能性もあります。
WordPressで記事を書く場合は、長文になることも珍しくはなく、強制的にログアウトする時間を指定してしまうことで、管理者自身に都度、再ログインを促してしまいます。
短い時間で強制的にログアウトを促すことは不正アクセス者にとって有効的です。しかし、管理者からすると利便性を損ねてしまいます。
ここでは、強制的なログアウト時間に「8時間」を目安として設定しています。
アカウント利用ログ
アカウント利用ログでは、ログイン中のユーザーの以下の情報を表示します。
- ユーザーID
- ユーザー名
- IPアドレス
- 時間
- 日付
ログインページ、且つ、ログイン中のユーザーに限られるため、利用する機会がありません。
正直、ログインされたら終わりなので、不正アクセス者がマシンに任せっきりで寝ているか、ログインに気付いていない場合にはログイン情報を知れるため、便利かと思います。
また、ログインした履歴を「CSV」ファイルでストレージに保存することもできます。
ログイン済みユーザー
ログイン済みユーザーは、現在ログインしている全てのユーザーが表示されます。
項目[アカウント利用ログ]では、過去の全てのログインユーザーが表示されるのに対し、現項目では、今、現在ログインしているユーザーが表示されます。
また、ユーザーIDにカーソルを合わせると「Force logout」という項目が現れます。この項目をクリックすることで、該当するユーザーを強制的にログアウトさせることができます。
ただし、基本的にログインされると、ログイン時のユーザー名、パスワードは知られたと思ってください。IPアドレスを指定してブロックすることも可能ですが、不正アクセス者は動的IPアドレスを利用していることが多いため、効果的とは言えません。
再発を防止するためには「ユーザー名」と「パスワード」の変更を推奨します。
ユーザー登録
左メニュー「ユーザー登録」は、WordPressで会員サイトを作成している方向けの機能です。
WordPressの初期設定では、第三者が会員登録する際には直ぐに登録することができます。
この設定は会員登録メンバーを厳選したい際に利用します。
それぞれの項目は以下の通りです。
- 手動承認
- Captcha登録
- ユーザー登録ハニーポット
それぞれの項目について解説していきます。
手動承認
WordPressで会員サイトを作成する方向けの機能です。
新規登録の手動承認することで、新規登録者の登録可・不可を決定します。
Captcha登録
WordPressで会員サイトを作成する方向けの機能です。
Captcha(Completely Automated Public Turing test to tell Computers and Humans Apart)はチューリングテストです。
簡単に言うと、人間には解決できて、BOTには解決しにくい問題を提示する仕組みです。文字の読解クイズ、画像クイズを利用して、セキュリティを高めることができます。
ただし、メンバ・会員登録ページに限ります。
ユーザー登録ハニーポット
WordPressで会員サイトを作成する方向けの機能です。
ユーザー登録ページにダミー(入力フィールド)を設置します。
この入力フィールドはダミーであり、管理者からは見えません。
ダミーフィールドに値が入力された場合は、ローカルホストアドレスにリダイレクト処理されます。
データベースセキュリティ
左メニュー「データベースセキュリティ」では、データベースの接頭辞の変更、また、データベースのバックアップを行うことができます。
それぞれの項目は以下の通りです。
- データベースの接頭辞
- データベースのバックアップ
それぞれの項目について解説していきます。
データベースの接頭辞
データベースの接頭辞(プレフィックス)を変更することができます。
ほとんどの場合、データベースの接頭辞として「wp_」が利用されています。
これは、SQLインジェクション、データベースの攻撃において推測されやすい接頭辞であるため、データベースの改竄に繋がる恐れがあります。
初期状態から変更することで、データベースの攻撃に備えます。
データベースのバックアップ
データベースのバックアップを取得することができます。
また、バックアップは以下のフォルダに保存されます。
- /wp-content/aiowps_backups/
項目[バックアップファイルをメールで送信する]にチェックを入れると、指定したメールアドレス宛にバックアップファイルを送信することができます。
ファイルシステムセキュリティ
左メニュー「ファイルシステムセキュリティ」では、ファイルのパーミッション設定、PHPファイルの編集の無効化、WPファイルのアクセス無効、エラーログの表示を行うことができます。
それぞれの項目は以下の通りです。
- ファイルのパーミッション
- PHPファイル編集
- WP File Access
- ホストシステムログ
それぞれの項目について解説していきます。
ファイルのパーミッション
パーミッション(権限)を設定することができます。
ボタン「推奨パーミッション設定」をクリックすることで、そのファイル、フォルダのパーミッションを最適化してくれます。
全てのパーミッションを「推奨パーミッションを設定」を選択して変更しておきましょう。
PHPファイル編集
PHPファイル編集機能を無効化にチェックを入れることで、WordPress管理画面でのPHPファイルの編集を行えなくします。
不正にログインされた際にPHPファイルの編集を不可能にすることで、できる限りの改竄を防止します。ただし、このプラグインの存在を知られていると無駄に終わります。
WordPressのエディターも利用できなくなるため、PHPファイルのカスタマイズを行う方は無効化してはいけません。
WP File Access
WPデフォルトのインストールファイルへのアクセスを防止にチェックを入れることで、WordPressの初期インストール時に自動的に作成されるファイルのアクセスを防止することができます。
以下のようなファイルが存在します。
- readme.html
- license.txt
- wp-config-sample.php
デフォルトのファイルを管理画面から編集することは無いため、少しでもセキュリティ効果を高めるためにチェックを入れておくことを推奨します。
ホストシステムログ
システムログでは「error_log」の内容を確認することができます。
ブラックリストマネージャー
ブラックリストマネージャー(ユーザーを禁止)では、特定のIPアドレス、ユーザーエージェントを指定することで、そのサイトアクセスを禁止、拒否することができます。
- IP、またはユーザーエージェントのブラックリストを有効化
にチェックを入れることで、ブラックリストマネージャーが機能します。
後は、各テキストフィールドにアクセスを禁止したいIPアドレス、ユーザーエージェントを入力します。
ファイアウォール
左メニュー「ファイアウォール」では、ファイアウォールセキュリティ保護ルール、設定、ブラックリスト、なりすましBOTのブロック、画像を直リンクの防止、404アクセス監視などの設定を行うことができます。
それぞれの項目は以下の通りです。
- 基本のファイアウォール設定
- 追加ファイアウォール規則
- 6Gブラックリスト / ファイアウォールルール
- オンラインのボット
- 直リンク防止
- 404検出
- カスタムルール
それぞれの項目について解説していきます。
基本のファイアウォール規則
基本的なファイアウォール規則では、
- 基本的なファイアウォール設定
- WordPress XML RPCとピンバック脆弱性保護
- デバッグログファイルへのアクセスをブロック
項目に分かれます。
それぞれについて解説します。
基本的には、画像の内容の設定で事足ります。
基本的なファイアウォール設定
基本的なファイアウォール保護を有効化することによって以下のファイアウォール保護メカニズムが実装されます。
- .htaceessファイルへのアクセスを拒否することで保護します
- サーバーの署名を無効化します
- アップロードサイズを制限します (デフォルト:10MB)
- wp-config.php ファイルへのアクセスを拒否することで保護します
上記のファイアウォール機能に関しては.htaccessファイルを通じて適用されます。サイト全体の機能に影響を与えることはありません。
WordPress XML RPCとピンバック脆弱性保護
この設定によって.htaccessにディレクティブが追加されます。WordPressのXML-RPC機能を受け持つ WordPressのxmlrpc.phpファイルへのアクセスが無効になります。
- サービス拒否(DoS)攻撃
- 内部ルーターをハッキングする。
- 内部ネットワークのポートをスキャンして、様々なホストから情報を取得します。
XMLRPC を必須にし、かつピンバックは無効化したい場合は、以下の機能を使用します。
- XML-RPCのピンバック機能を無効化
XML-RPCを完全に無効化する場合は前者。Jetpackなどのプラグイン、WordPressiOSなどの外部のツールを利用して投稿されている方(XML-RPCを使用している可能性のある場合)は後者を有効にします。
デバッグログファイルへのアクセスをブロック
WordPress には、
- wp-content/debug.log
にあるファイルへのデバッグログを有効化するオプションがあります。
このファイルには機密情報が含まれている可能性があります。
この項目を有効化すると、このファイルへの外部アクセスがブロックされます。
ただし、FTP経由でWebサイトにログインすれば、引き続きこのファイルにアクセスできます。
追加ファイアウォール規則
この機能を使用することでサイトに対してより高度なファイアウォール設定を行うことができます。
設定項目は、
- ディレクトリ内容のリスティング
- TRACEとTRACK
- プロキシ経由のコメント投稿
- 不正なクエリー文字列
- 高度な文字列フィルター
高度追加ファイアウォール規則では、項目にチェックを入れることで、順次、htaccessファイルにコードが挿入されます。ただし、チェックを入れることで全てが動作する保証はありません。
それぞれについて解説します。
基本的には、画像の内容の設定で事足ります。
ディレクトリ内容のリスティング
全てのディレクトリのコンテンツが一覧表示されなくなります。
ディレクトリリスティングは、URLでディレクトリを指定すると、そのディレクトリに含まれるファイルの一覧を表示させるWebサーバーの機能です
ディレクトリの構造が分かってしまうため、脆弱性を回避するためにチェックを入れます。
この機能を機能させるには、httpd.confファイルでIndexesディレクティブの「AllowOverride」を有効にする必要があります。 httpd.confにアクセスできない場合は、ホスティングプロバイダーに確認するよう依頼します。
TRACEとTRACK
HTTPトレース攻撃(XST)では、ヘッダーリクエストを返し、Cookieやその他の情報を取得することができます。これには、ベーシック認証のID、パスワードなどの貴重な情報も含まれます。
WebサイトでTRACEとTRACKを無効にすると、XST(Cross Site Tracing)を防ぐのに役立ちます。
プロキシ経由のコメント投稿
プロキシ経由のコメント投稿を禁止します。
プロキシサーバーを経由したコメントでは、コメントを書き込んだ身許(みもと)が他のホストになり済まして表示されます。悪質なコメントが来た際には特定することが難しくなるため、プロキシ経由のコメントを予め禁止にします。
プロキシコメントを禁止することにより、事実上、一部のスパムやその他のプロキシリクエストを排除することになります。
コメントの投稿を無効にしている場合は関係ありません。
不正なクエリ―文字列
この機能は .htaccessファイルにルールを記述し、XSS(クロスサイトスクリプティング)を利用したサイトへの悪意のある文字列攻撃を防ぎます。
不正に利用されやすい文字列が.htaccessファイルに自動的に追加されます。
これらの文字列の中にはプラグインやテーマに使用されるものがあるため、一部の機能に支障をきたす可能性があります。この機能を適用する前に、使用中の .htaccessファイルのバックアップを取ることを強くお勧めします。
高度な文字列フィルター
Webサイトへの悪意のある文字列攻撃(XSS)を防ぐための高度な文字列フィルターを追加します。
前項目の内容を踏まえた上で更に不正に利用されやすい文字列を.htaccessファイルに自動的に追加し、このクエリーを試みようとする場合には403エラーを発生させます。
これらの文字列の中にはプラグインやテーマに使用されるものがあるため、一部の機能に支障をきたす可能性があります。この機能を適用する前に、使用中の .htaccessファイルのバックアップを取ることを強くお勧めします。
6Gブラックリスト/ファイアウォールルール
この設定を有効にすることで、Webサイトに6Gセキュリティファイアウォール保護メカニズムを実装します。
例えば、
- 悪意ある攻撃で一般的に使用される禁止文字をブロックします。
- “.css(” 文字列など悪意のあるエンコードされた URL 文字をブロックします。
- 標的にされた URL のルート部分にある一般的なパターンと特定の悪用からガードします。
- 不正な文字を許可しないようにすることで、攻撃者がクエリー文字列を操作するのを防ぎます。
以上のものを含みます。
レガシーな5Gファイアウォール保護を有効化するにチェックを入れなくても、6Gファイアウォール保護を有効化することで、5Gの機能も6Gの方に含まれています。
最新版を有効化するようにしましょう。
オンラインのボット
検索エンジンにサイトが登録される際にはクローラーがクロール(巡回)することで登録されます。
この項目にチェックを入れることで、偽のクローラーの巡回を排除することができます。
GoogleのクローラーになりすましたDDoS攻撃を防ぐためにチェックを入れておきましょう。
Yahoo、Bingなどの他の組織の他のすべてのボットは、この機能の影響を受けません。
直リンク防止
画像へのリンクを防止します。
他者のサイトに表示されている画像は、自分のサーバーからのものであるため、画像の表示に伴い、帯域幅とリソースのリークが発生する可能性があります。
アクセス時の負荷を防ぐためにチェックを入れておきましょう。
.htaccessファイルに自動的にソースコードが追加されます。ご心配な方は.htaccessファイルのバックアップを取得しておくことを推奨します。
404検出
不正アクセス者は自動化したプログラムで脆弱性を発見します。ほとんどの場合、404ページへと飛ばされるため、頻繁に404エラーページへと辿り着く場合は不正アクセスの疑いが出てきます。
ここでは、サイトで発生する全ての404イベントを監視、ロックアウト時間の指定を行います。
短時間の404エラーページへのアクセスを遮断すること、また、その404イベントログを監視し、希望であればCSVファイルへと保存することもできます。
- http://127.0.0.1
上記の404ロックアウト転送(URL)は、不正アクセス者のIPアドレスを指定しています。
ブロックされた訪問者は自動的に上記のURLにリダイレクトされます。
カスタムルール
カスタムルールでは、既存の設定の他のルールを追加で指定することができます。
基本的に、ルールは直接.htaccessファイルへと書き込むことを推奨しています。この機能を利用することで、気軽に.htaccessファイルへとルールを書き込むことができるものの、少し間違っただけで、Webサイトは機能しなくなってしまいます。
カスタムルールに関しては、文法の意味とルールを理解している方のみ、利用するようにしましょう。
不適切な.htaccessのルールまたは命令は、サイトへのアクセスを壊したり妨げたりする可能性があります。もしサイトを壊してしまった場合は、FTPなどでサーバーにアクセスし、.htaccessファイルを編集して変更を削除する必要があります。
総当たり攻撃
左メニュー「総当たり攻撃」では、総当たり攻撃(ブルートフォース攻撃)を防ぐための設定を行います。
それぞれの項目は以下の通りです。
- ログインページの名称を変更
- Cookieベースの総当たり攻撃の防止
- ログインCaptcha
- ログインのホワイトリスト
- ハニーポット
それぞれの項目について解説していきます。
総当たり攻撃と呼ばれるサイバー攻撃です。例えば、3桁のパスワードであれば000から999までの全ての組み合わせをプログラムを組むことでコンピューターで自動的に正解に辿り着くまで行います。数を撃てばいずれは正解に辿り付く、シンプル、且つ、正確な方法です。
ログインページの名称を変更
WordPressのログインページは共通しています。
この項目では、ログインページを指定した任意のページへと変更することができます。
不正アクセス者の共通したログインページへのアクセスを遮断することができます。
ただし、管理者がWordPressにログインする際には、指定した任意のログインページへとアクセスする必要があります。共通したログインページでは無くなり、新たなログインページへとアクセスし、ユーザー名、パスワードを入力することになるため、ログインページ(URL)は、必ず、覚えておきましょう。
Cookieベースの総当たり攻撃の防止
総当たり攻撃防止機能を有効化にチェックを入れることで以下の項目が入力できるようになります。
- 秘密の言葉
- 転送先URL
例えば、秘密の言葉に「sample123」を入力すると、
- http://〇〇〇.com/?sample123=1
にアクセスした際に限り、ログインページに移動します。
Cookieベースでログインを可能にするため、一度「Cookieテストを実行」する必要があります。
機転送先(URL)には、不正アクセス者のIPアドレスを指定されているものの、このURLは変更が可能なので、不正アクセス者がアクセスすることで困るIPアドレス(CIA・NSA・FBI)に指定し、誘導することもできます。
管理者がWordPressにログインする際には、指定したログインページへとアクセスする必要があります。新たなログインページへとアクセスし、ユーザー名、パスワードを入力することになるため、ログインページ(URL)は、必ず、覚えておきましょう。
ログインCaptcha
ログインページ、パスワード再設定フォーム、カスタムログインフォームでCAPTCHAを導入します。
ログイン時に必要となるユーザー名、パスワードに加え、複雑な認証システム(画像・コード・数字)を入れることで、ログインすることができるようになります。
CAPTCHAは導入することを推奨するものの、別の登録が必要となりますので、面倒だと感じる方は無理に利用する必要はありません。
BOTには判断できない認証を行うことで総当たり攻撃(ブルートフォース攻撃)を防止します。
reCAPTCHAを利用する際には、Google(reCAPTCHA)により、サイトキー、シークレットキーを作成する必要があります。
ログインのホワイトリスト
ログインのホワイトリストでは、特定のIPアドレスを入力することで、それ以外のIPアドレスのログインページへのアクセスを遮断することができます。
IPホワイトリストを有効化にチェックを入れることで本機能が機能するようになります。
例えば、
- 123.456.789(自身のIPアドレス)
を各入力フィールドに登録した場合は、そのIPアドレスでしかログインページにアクセスすることができません。
自宅のパソコン(固定IPアドレス)のみで管理するのであれば利用しやすい機能です。しかし、外部のWifi、スマートフォンのデザリング等、他環境でのWordPress投稿(動的IPアドレス)が多い場合には推奨しません。
ハニーポット
ログインページに非表示(目に見えない)の「ハニーポット」フィールドを追加します。
機械的なプログラムは値を入力できるフィールドの全てに入力するため、隠されたハニーポットに対しても値を送信することになります。
ハニーポットに入力された情報を取得した場合は、不正アクセス者のローカルホストアドレス(http://127.0.0.1)にリダイレクトされます。
スパム防止
左メニュー「スパム防止」では、コメント欄の迷惑コメントの防止設定を行います。
それぞれの項目は以下の通りです。
- コメントスパム
- コメントスパムのIPモニタリング
- BuddyPress
- BBPress
それぞれの項目について解説していきます。
コメントスパム
コメントスパムでは、
- コメントフォームにCAPTCHAを追加
- スパムボットのコメントをブロックする
以上の項目の設定を行います。
コメントフォームにCAPTCHA認証を追加することでスパムボットを足止めでき、ルールを.htaccessに自動的に追加することでスパムボットのコメントをブロックすることができます。
それぞれの項目について解説していきます。
コメントフォームにCAPTCHAを追加
コメントフォームにCAPTCHAを追加にチェックを入れることで、コメント入力フォーム(下部)にCAPTCHA認証を表示させることができます。
ただし、コメントフォームを表示していない方は無意味なのでチェックを入れる必要はありません。
また、スパムコメントを入力を防ぐことができるものの、コメント欄を設置する場合は訪問者との気軽なやり取りを前提にしていることから、訪問者の使用面を考えると好ましくありません。
次項目のスパムボットのコメントをブロックするにチェックを入れるだけで大部分のスパムコメントは回避できるため、この項目はチェックを入れていません。
スパムボットのコメントをブロックする
スパムボットのコメントをブロックするにチェックを入れることで、コメントスパムの大部分をブロックすることができます。コメントスパムは機械的に作成されるため、人間によって物理的にコメントが送信されなかった場合にリクエストをブロックします。
スパムボットからのコメント投稿はチェックを入れておくことを推奨します。
このルールは.htaccessに記載するため、サイトへのアクセスを壊したり妨げたりする可能性があります。サイトを壊してしまった場合は、FTPなどでサーバーにアクセスし、.htaccessファイルを編集して変更を削除する必要があります。予め、バックアップを取得しておくことを推奨します。
コメントスパムのIPモニタリング
コメントスパムのIPモニタリングでは、コメントフォームに入力したIPアドレスを監視、制限、ブロックすることができます。
- スパマーのIPを自動ブロック
- スパマーのIPアドレス一覧
- スパマーのIPアドレス結果
以上の項目の設定を行います。
それぞれの項目について解説していきます。
スパマーのIPを自動ブロック
スパマーIPを自動ブロックでは、
- スパムコメントのIPを自動ブロック
- スパムコメントの最小回数
以上の項目に分かれます。
スパムコメントを投稿した訪問者のIPアドレスを自動的にブロックすることができるため、チェックを入れておくようにします。
また、スパムコメントの最小回数の値を指定することで、
- サイトで〇件以上のスパムコメントを送信するために使用されたIPアドレスをブロック
することができます。
ここでは、最小回数の値として「3」を入力しています。
スパマーのIPアドレス一覧
スパマーのIPアドレス一覧では、サイトにスパムコメントを残した人やボットのIPアドレスの一覧が表示されます。
IPアドレスあたりのスパムコメントの最小数の値を指定し、ボタン「IPアドレスを探す」をクリックすることで、
- 〇件以上のスパムコメントを投稿したIPアドレスの結果を表示
することができます。
ここでは、最小回数の値として「3」を入力しています。
スパマーのIPアドレス結果
前項目[スパマーのIPアドレス一覧]と連動した結果が表示されます。
スパマーのIPアドレスの上にカーソルを持っていき、ブロック(block)を選択することでブラックリストへと追加することができます。
BuddyPress
BuddyPressは、会員制のSNSサイトを構築できるプラグインです。
会員制の登録フォームにCAPTCHA認証を追加することができます。
BuddyPress(プラグイン)をインストールして有効化する必要があります。
BBPress
BBPressは、掲示板やフォーラムを作成するプラグインです。
掲示板やフォーラムで投稿する際にCAPTCHA認証を追加します。
BBPress(プラグイン)をインストールして有効化する必要があります。
スキャナー
左メニュー「スキャナー」では、ファイルの変更の通知、マルウェアのスキャン(有料)の設定を行うことができます。
それぞれの項目は以下の通りです。
- ファイルの変更通知
- マルウェアスキャン
それぞれの項目について解説していきます。
ファイルの変更通知
不正アクセス者は、自分のコードやファイルをシステムに挿入し、サイトで悪意のある行為を実行します。
本機能はシステムのファイルを定期的に自動または手動でスキャンすることで、ファイルの追加や削除など、システム上で発生したファイルの変更を管理者へと通知する機能です。
また、本機能のサーチを無視するファイルとディレクトリを指定し、自分の好みのスキャン内容へと設定することもできます。
- 変更を検知したらメールする
には、必ずチェックを入れておくことを推奨します。
ファイル・ディレクトリの変更を検知するとメールにて知らせてくれます。
マルウェアスキャン
マルウェアスキャンは有料の機能です。
以下の機能を実装できます。
- サイトの自動スキャン(一つ)
- 自動でマルウェアとブラックリストを監視
- 自動メールアラート
- サイト連続稼働時間監視
- サイト反応時間モニタリング
- マルウェアの駆除についてのアドバイスの提供
- ブラックリスト削除
- 契約期間なし(キャンセル可)
マルウェア対策機能です。
メンテナンス
フロントエンドのロックアウト有効化にチェックを入れることで、Webサイトを「メンテナンスモード」にすることができます。
チェックを入れた上でWebサイトにアクセスすると以下のようになります。
簡単にメンテナンスモードにすることができるため、Webサイトに何らかのトラブルが起きた際には便利です。
その他
左メニュー「その他」では、Webサイト上の挙動の設定を行います。
それぞれの項目は以下の通りです。
- コピー・プロテクション
- フレーム
- ユーザー番号
- WP REST API
それぞれの項目について解説していきます。
コピー・プロテクション
コピー・プロテクションのコピープロテクションを有効にするにチェックを入れると、Webサイト上での「右クリック」「テキスト選択」「コピー」を不可能にします。
ただし、このような制限のあるサイトは嫌われる傾向にあるため、チェックを入れていません。
フレーム
iFrameプロテクションを有効にすると、他のサイト上にframeまたはiframeを通じてこのサイトのコンテンツが表示されるのを防止できます。
特に、チェックを入れておいて不都合はありません。というより、フレームを通じてサイトを表示すること自体が特別なのでチェックを入れておくことを推奨します。
ユーザー番号
ユーザー番号を無効化にチェックを入れることで以下のURLでのアクセスによるユーザー名の漏洩を防止することができます。
- http://〇〇〇.com/?author=▲
〇にはドメイン、▲には一桁の数字を順に入力し、実行してみてください。
すると、以下の画像のようにURLにユーザー名が表示されます。
ただし、有効化してもREST APIを利用することでユーザー名は見ることができます。
REST APIを無効化する設定は次項目です。
WP REST API
REST APIを利用することでもユーザ名は見ることができます。
例えば、
- https://〇〇〇.com/wp-json/wp/v2/users
〇にドメイン名を入力してください。
すると、ユーザー情報が表示されます。
未認証のRESTリクエストを禁止にチェックを入れることでREST APIへのアクセスをブロックできます。
ユーザ情報が以下の画像の内容に置き換わります。
ただし、一部のプラグインにも影響を与えてしまいます。
例えば、
- Contact-form-7
- Jet pack
- akismet
- oembed
このようなプラグインを利用している方はチェックを外しておくことを推奨します。
All In One WP Security & Firewallでセキュリティ強化
All In One WP Security & Firewallは無料のセキュリティ対策プラグインです。
無料であるにも関わらず、驚くべき程の機能性を持つため、WordPressユーザーの多くが取り入れています。
ただし、多機能であるだけに使いこなせている人は少ないように感じます。All In One WP Security & Firewallの一つ一つの機能を使いこなせることができれば、ご自身のブログ、サイトは、より安全に保つことができるでしょう。
このプラグインを踏まえた上で、より強固なセキュリティ対策を行いたい場合は以下のリンクを参考にしてください。
コメント