WP Cerber Securityを使い始める
心配はいりません。WordPress のセキュリティはもはや難しいものではありません。
English version: Getting Started with WP Cerber Security
プラグインをインストールして有効化すると、いくつかの必須設定が自動的に読み込まれます。これにより、WP CerberはWordPressを効果的に保護できるようになります。ただし、WP Cerberを最適に活用し、ウェブサイトを最高レベルの保護で保護するには、プラグインを慎重に設定する必要があります。
1. CerberがIPアドレスを正しく検出していることを確認する
- ブラウザで「IPアドレスは何ですか?」ページを開きます
- 2 番目のブラウザ タブ (ウィンドウ) を開き、Web サイトの WP Cerber インストールの [ツール] / [診断] タブに移動します。
- 「システム情報」セクションで「IP アドレスの検出方法」の行を見つけます。
- 「IP アドレスは何ですか」ページの IP アドレスと、「IP アドレスは次のとおり検出されました」行に表示されている IP アドレスを比較します。
- 同じIPアドレスが2つ表示されるはずです。異なるIPアドレスが2つ表示される場合は、プラグインのメイン設定で「サイトがリバースプロキシの背後にある」にチェックを入れ、上記の手順を繰り返してください。
- それでも2つの異なるIPアドレスが表示され、ウェブサイトがプロキシの背後にない場合は、次の手順に従ってください:誤ったIPアドレス検出の問題の解決
- WordPressがCloudflareを使用している場合は、もう1つの手順が必要です。
2. 標準モードでプラグインの読み込みを有効にする
メイン設定に移動し、セキュリティ エンジンのロード設定を標準モードに設定します。
3. メール通知を受信できることを確認する
プラグインを有効にすると、ウェブサイト管理者のメールアドレスにウェルカムメールが送信されます。ウェルカムメールが届かない場合は、 「通知」タブに表示されているメールアドレスが正しいこと、またプラグインからのメールが迷惑メールフォルダに振り分けられていないことを確認してください。ウェルカムメールが届かない場合、他の重要な通知も届かない可能性が高くなります。 「メールアドレス」テキストフィールドに別のメールアドレスを入力できます。配信テストを行うには、「クリックしてテスト送信」リンクをクリックしてください。
続きを読む: スマートフォンでモバイル通知を設定する方法
4. カスタムログインと登録ページを有効にする
自動攻撃やスパム登録からデフォルトのWordPressログインページ(wp-login.php)を隠すには、独自のカスタムログインURL(ログインページ)を指定し、wp-login.phpを無効にしてください。注:キャッシュプラグイン(W3 Total CacheやWP Super Cacheなど)を使用している場合は、カスタムログインURLをキャッシュしないページのリストに追加する必要があります。
5. 自宅またはオフィスのIPアドレスをホワイトIPアクセスリストに追加する
自宅やオフィスで固定IPアドレスのコンピューターを使用している場合は、そのIPアドレス(または社内ネットワーク全体)をホワイトIPアクセスリストに追加することをお勧めします。これにより、ウェブサイトへのアクセスが誤ってブロックされることを防ぎ、XML-RPC、REST API、その他のWordPressの重要な部分へのアクセスを制限できます。
続きを読む: WordPressのアクセスリストの使い方
6. スパム対策を有効にする
Cerberのアンチスパムエンジンは、ほとんどのWordPressフォームビルダーと互換性があり、ほぼすべてのフォームを保護できます。アンチスパム管理ページで、Cerberのアンチスパムエンジンセクションにある必要な機能をすべて有効にしてください。アンチスパムを有効にしたら、サイト上のフォームが正常に動作することを確認してください。ウェブサイトの一部の機能が動作しなくなった場合は、 「制限の少ないポリシーを使用する(AJAXを許可する)」を有効にしてください。
最後に、プラグインにスパムコメントの削除を任せましょう。スパムコメントを完全に拒否するか、スパムとしてマークするかを選択できます。スパムを自動的にゴミ箱に移動するオプションもオンにしてください。
7. REST APIとXML-RPCへのアクセスを制限する
- Hardening管理ページに移動します。
- 「REST APIを無効にする」にチェックを入れます。必要に応じて、REST APIの名前空間例外を指定します。例えば、Contact Form 7を使用する場合の名前空間は
contact-form-7、Jetpackの場合はjetpackです。 - 承認されたすべての WordPress ユーザーが制限なく REST API を使用できるようにするには、「ログインしたユーザーに REST API を許可する」をオンにします。
- Jetpackプラグインを使用しない場合は、 「XML-RPCを無効にする」にチェックを入れてください。特定のホストからのみXML-RPCを使用する場合は、そのIPアドレスをホワイトIPアクセスリストに追加してください。
続きを読む: WordPress REST APIへのアクセスを制限する
8. 禁止ユーザー名のリストを指定する
プラグインのユーザー管理ページに移動し、リストがまだ空の場合は、次のユーザー名をそのリストに追加することをお勧めします: admin、administrator、manager、editor、user、demo、test 。
9. 2要素認証を有効にする
ユーザーのアカウントを保護し、アカウントの乗っ取りを防ぐには、2要素認証を有効にしてください。WordPressのユーザー名とパスワードに加えて、2要素目の認証を要求することで、セキュリティをさらに強化できます。
続きを読む: WordPressの2要素認証
10. WP Cerberの自動更新を有効にする
WP Cerberの定期的なアップデートは、WordPressのセキュリティ強化に不可欠です。アルゴリズムの継続的な強化、新たな脅威への対策の実装、ソフトウェアバグの修正など、様々な対策が講じられています。これらのアップデートは、数回のクリックで有効化できます。WP Cerberの自動アップデートを有効にする方法をご覧ください。
11. Traffic Inspectorのフォームフィールドのマスキングを有効にする
フォームフィールドをログに保存する設定( 「リクエストフィールドを保存」が有効)があり、ウェブサイトのログインフォームを生成するプラグインを使用している場合は、Traffic Inspector設定ページの「これらのフォームフィールドをマスクする」にパスワードフォームフィールドの名前を追加する必要があります。WP Cerberは、デフォルトのWordPressログインフォームのパスワードフィールドと、「pwd」、「pass」、「password」のフォームフィールドを常にマスクします。
12. 悪意のあるIPアドレスをCerberのラボに送信できるようにする
プラグインチームにプラグインのセキュリティアルゴリズムの改善とパフォーマンスの最適化を依頼してください。メイン設定のアクティビティセクションでCerber Lab接続を有効にしてください。セキュリティを強化するには、 Cerber LabプロトコルをHTTPSに設定してください。Cerber Labの詳細については、こちらをご覧ください。
13. モバイルアラートとメール通知を有効にする
特定のアクティビティを監視したり、ユーザーがウェブサイトに登録またはログインしたときに通知を受け取りたい場合は、「アクティビティ」タブで特定のアクティビティをフィルタリングし、 「アラートを作成」をクリックします。詳細はこちら: WordPressの通知を簡単に作成する方法。
WP Cerber に関して質問やサポートが必要ですか?
"ライセンスキーを取得して、プロフェッショナルセキュリティ機能のロックを解除してください"
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.