Security Blog
Posted By Gregory

WordPressを効果的に保護する方法:必須事項リスト

English version: How to protect WordPress effectively: a must-do list


ウェブサイトのセキュリティを強化し、長期的な保護を実現するために必ず行うべきことリスト。

WP Cerberのセキュリティアルゴリズムを最大限に活用するには、以下の設定をすべて構成する必要があります。設定によっては他のプラグインやWebサーバーの設定と競合する可能性があるため、慎重に行ってください。問題が発生した場合は、アクティビティログで拒否されたリクエストやブロックされたIPアドレスなどの関連イベントを確認してください。なお、以下に説明する機能の一部はプロフェッショナル版でのみ利用可能です。

1. 自動更新を有効にする

WP Cerber の定期的なアップデートは、WordPress のセキュリティを強化するために不可欠です。WP Cerber はアルゴリズムを継続的に強化し、新たな脅威に対する保護を実装し、ソフトウェアのバグを修正しています。数回クリックするだけでアップデートを有効にできます。WP Cerber の自動アップデートを有効にする方法をご覧ください。

2. メイン設定を確認する

  1. 「メイン設定」ページに移動してください。

  2. セキュリティエンジンのロード」を「標準モード」に設定してください。

  3. 「カスタムログインURL」を設定する

  4. 「wp-login.php 認証リクエストの処理」を「wp-login.php へのアクセスをブロックする」に設定するか、より高度な設定として「wp-login.php を介した認証を拒否する」に設定してください。

  5. 「存在しないユーザー名でログインしようとした際に、IPアドレスを即座にブロックする」を有効にする

  6. 「ダッシュボードのリダイレクトを無効にする」を有効にする

  7. オプションで「wp-login.phpへのリクエスト後、IPアドレスを即座にブロックする」を有効にします。

3. [セキュリティ強化] タブでセキュリティ ポリシーを有効化します。

WordPressのセキュリティ強化セクションで有効にする必要がある最小限の設定項目は以下のとおりです。

  1. 「ユーザー列挙を停止する」

  2. 「oEmbed経由でのユーザー名の発見を防止する」

  3. 「ユーザーXMLサイトマップによるユーザー名の発見を防止する」

  4. 「ユーザー名によるユーザーページへのアクセスをブロックする」

  5. WordPressのメディアフォルダ内でPHPスクリプトの実行をブロックする

  6. 「PHPエラーの表示を無効にする」

  7. 「XML-RPCを無効にする」

WordPress REST APIへのアクセス設定では、以下の設定を有効にすることをお勧めします。

  1. 「ユーザー列挙を停止する/REST API経由でのユーザーデータへのアクセスをブロックする」

  2. 「REST APIを無効にする」

  3. 「ログインユーザー向けにREST APIを許可する」

詳細はこちら: REST APIへのアクセスを制限する

4. Traffic Inspectorファイアウォールを有効にする

  1. 「交通検査を有効にする」を「最大限のセキュリティ」に設定してください。

  2. 「エラーシールドを有効にする」を「最大限のセキュリティ」に設定してください。

5. マルウェアの定期スキャンと自動マルウェア削除を有効にする

設定タブで、以下の設定を有効にしてください。

  1. 「一時ディレクトリをスキャン」

  2. 「セッションディレクトリをスキャン」

「クリーンアップ」タブで:

  1. 「無人ファイルの削除」、「WordPressファイルの復元」、「プラグインファイルの復元」を有効にする必要があります。

  2. 「アップロードフォルダ内のファイル」設定のすべてのチェックボックスにチェックを入れてください。

6. 必要ないと思えても、スパム対策機能を有効にしてください。

アンチスパムエンジンのタブでは、以下の設定を有効にすることをお勧めします。

  1. 「コメントフォーム(ボット検出エンジンでコメントフォームを保護します)」

  2. 「登録フォーム(ボット検出エンジンで登録フォームを保護)」

  3. 「その他のフォーム(ウェブサイト上のすべてのフォームをボット検出エンジンで保護する)」

7. 地理的ルールを使用する:取引しない国をブロックする

セキュリティルール管理ページで、ウェブサイトへのアクセスを許可する国(フォームの送信、ログイン、登録など)に関する地域ポリシーを設定します。これらの設定は、検索エンジンによるウェブサイトのインデックス登録を妨げるものではありません。

8. WordPressプラグインフォルダの名前を変更します

プラグインフォルダの名前を変更することは、WordPressのセキュリティを強化する上で最も過小評価されている方法の一つです。しかも、無料で簡単にできます。

詳しくはこちら: WordPressプラグインフォルダの名前を変更する方法

9. 二段階認証を有効にする

ユーザーアカウントを保護するために、二段階認証(2FA)を有効にしてください。これは、ユーザー名とパスワードに加えて、もう一つの認証要素を必要とする追加のセキュリティ層を提供します。

詳しくはこちら: WordPressで二段階認証を有効にする方法

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.