WordPressを利用している場合、不正ログインやコメント・スパムを防ぐために、デフォルトのままでは使わずに、追加でセキュリティー対策をしておくことが必須といえます。
詳しいことが対策が分からない場合は、とりあえず「SiteGuard WP Plugin」というプラグインを利用すると良いので、設定方法をまとめておきます。
インストールと有効化
「SiteGuard WP Plugin」をインストールして有効化すると次の画像のように「ログインページURLが変更されました。新しいログインページURLをブックマークしてください. 設定変更はこちら.」というメッセージが出ます。
この時点でログインページURLが変更されています。忘れないようにメッセージのリンクをクリックして新しいURLをメモしておきます。
新しいURLが分からなくなるとWordPressの管理画面にログインすることができなくなります。その場合は、WordPressを再インストールしか復旧方法がないのでは?と思われます。
初めて有効化した時だけでなく、無効化して再び有効化した場合でも、新しいURLに変更されるので注意してください。
設定を変更しておくと良い項目
「SiteGuard WP Plugin」をインストールして有効化すると、デフォルトでいくつかの機能が有効になります。それ以外に次の部分を変更しておくと良いでしょう。
ログインページ変更
次の設定は非常に重要です。これを設定していないとログインページを変更した意味がないと言えるでしょう。
- 「オプション」の「管理者ページからログインページへリダイレクトしない」をチェックオンにする
XMLRPC防御
次の設定は、XMLRPCを使っていなければ、設定した方が良い内容です。
- XMLRPCを使っていなければ、「タイプ」の「XMLRPC無効化」をオンにしておく
ユーザー名漏えい防御
次の設定ですが、1つめは無条件で設定しておいた方が良いでしょう。2つめは「REST APIを使っていなければ」という条件がつきます。
- 一番上にある機能自体のボタンを「ON」にする
- REST API を使っていなければ、「オプション」の「REST API 無効化」をチェックオンにする
まとめ
以上で次の機能がオンになっていると思います。
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- XMLRPC防御
- ユーザー名漏えい防御
- 更新通知
SiteGuradの「ダッシュボード」で緑色のチェックマークがついているか確認しましょう。
