プラグインを使ったWordPressのセキュリティ対策をします。
使いたかった機能から候補のプラグインは以下の2つに絞りました。
・SiteGuard WP Plugin – EG Secure Solutions
・All In One WP Security & Firewall(AIOWPS)
たった1日ですが吟味した結果、使いやすそうなSiteGuard WP Plugin を使うことにしました。純国産として定評のやつです。
今回対応したこと
使いたかった機能
- ログインページのURLを変更
- WordPressのデフォルト「/wp-login.php」ではアクセスできなくする。プラグインのデフォルト「/login_<5桁の乱数>」よりもっと見つけづらくしたかったので変更しました。
- ユーザ名の漏洩防止
- 投稿者アーカイブを使って登録されているユーザ名が特定されないようにする(”/?author=n” でユーザ名がURL上に表れて特定されないようにする)
- PingBack機能を無効化する
- DDoS攻撃の踏み台としてPingBack機能が悪用されないようにする。
- アカウントロック
- 連続してログイン失敗した場合、一時的にログインできないようにする。
- ログイン失敗時のメッセージ共通化
- ログインに失敗した際に表示するメッセージからユーザ名が登録されているか、パスワードのみの不一致だったのかが分からないようにする。
せっかくだから使った機能
- CAPTCHA
- ログインページに動的に生成される画像に表示された内容を入力させて認証時の要素として使う機能。(コメント投稿も)
- ログイン通知
- ログインが成功する度に、登録したメールアドレス宛にメールで通知を行う。
- 更新通知
- WordPress本体、プラグイン、テーマの更新がある場合、登録したメールアドレス宛にメールで通知を行う。
今回はここまで。他にも確認したいことややっておきたいことがあるので、次回はその辺をやろうと思います。ただ、どこまでやってるかを開けっ広げにするのもどうかと思うので投稿はしないかもしれないです。