WordPress iTheme Securityなどを使用したセキュリティの設定

こんにちは。ましじめの田村です。

WordPressでサイトを構築しているとセキュリティ対策をどうしようかなと思うことがあると思います。

今回はセキュリティプラグインのiTheme Securityなどを使用した設定を紹介したいと思います。

コメントなどディスカッションをオフ

まずプラグインの設定の前に標準のコメントなどオフにします。

「設定→ディスカッション」と移動します。

/wp-admin/options-discussion.php

次を修正します。

● デフォルトの投稿設定

• 新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける
• 新しい投稿へのコメントを許可

● コメント表示条件

• コメントの手動承認を必須にする
• すでに承認されたコメントの投稿者のコメントを許可し、それ以外のコメントを承認待ちにする

iThemes Security の設定

iTheme Security というプラグインをインストールして次を新たに設定します。

「セキュリティ→設定」と移動します。

/wp-admin/admin.php?page=itsec&module_type=recommended

最初に管理画面プラグインのページに行くと「推奨」タブになっていますので「すべて」に切り替えます。

● セキュリティチェック
まずセキュリティチェックをします。
その後順に設定をします。

● グローバル設定
ログインするIPアドレスが拒否リストに入らないようにホワイトリストに登録します。

● 404の検出
404ヒットの数が一定以上になるとアクセス拒否するように設定します。

● 管理者ユーザー
ID1のユーザーを変更します。

● データベーステーブルのプレフィックス（接頭辞）の変更
データベーステーブル接頭辞wp_を変更します。

● データベースのバックアップ
データベースのバックアップを設定します。

● ファイル変更の検出
変更を検出できるようにします。

● バックエンドの非表示
ログインURLを変更してwp-login.php と wp-adminのアクセスを禁止します。

● ローカルのブルートフォース保護

● ネットワーク・ブルートフォース保護

● システムの微調整
次にチェックを入れます。

• システムファイル
• ディレクトリの参照
• アップロード内の PHP

● WordPress の微調整
次にチェックを入れます。

• URI ヘッダーの編集
• コメントスパム
• XML-RPC（無効化）
• ログインエラーメッセージ
• 追加ユーザーのアーカイブを無効

● セキュリティチェック
再度セキュリティチェックをします。
問題なければ終了です。

以上 WordPress iTheme Securityなどを使用したセキュリティの設定になります。

今回は無料版の範囲で設定をしていますが有償のPRO版もあるようです。
https://ithemes.com/security/
セキュリティの設定をする場合に参考にしてみてください。