WordPressを効果的に保護する方法:必須リスト
English version: How to protect WordPress effectively: a must-do list
あなたのウェブサイトのための高いセキュリティと耐久性のある保護を得るためにしなければならないリスト。
Cerberのセキュリティアルゴリズムを最大限に活用するには、以下のすべての設定を構成する必要があります。一部の設定が別のプラグインまたはWebサーバーの設定と競合する可能性があるため、これは慎重に行ってください。問題が発生した場合は、アクティビティログで、拒否されたリクエストやブロックされたIPアドレスなどの関連イベントを確認してください。
1.主な設定を確認します
- 「セキュリティエンジンのロード」を「標準モード」に設定します
- 「カスタムログインURL」を設定し、「wp-login.phpを無効にする」をオンにします
- 「存在しないユーザー名でログインしようとすると、IPをすぐにブロックする」を有効にします
- 「ダッシュボードリダイレクトを無効にする」を有効にする
- 「wp-login.phpへのリクエスト後すぐにIPをブロックする」を有効にします
2. [強化]タブでセキュリティポリシーをアクティブにします
[WordPressの強化]セクションで有効にする必要のある設定の最小限のセット:
- 「ユーザー列挙を停止する」
- 「WordPressメディアフォルダーでPHPスクリプトの実行をブロックする」
- 「XML-RPCを無効にする」
- 「PHPエラーの表示を無効にする」
次の設定は、WordPress RESTAPIへのアクセスセクションで有効にすることをお勧めします。
- 「ユーザー列挙の停止/ RESTAPIを介したユーザーデータへのアクセスのブロック」
- 「RESTAPIを無効にする」
- 「ログインしたユーザーにRESTAPIを許可する」
続きを読む: RESTAPIへのアクセスを制限する
3.トラフィックインスペクターのファイアウォール設定を有効にします
- 「トラフィック検査を有効にする」を「最大のセキュリティ」に設定します
- 「エラーシールドを有効にする」を「最大のセキュリティ」に設定します
4.スケジュールされたマルウェアスキャンと自動マルウェア削除を有効にします
[設定]タブで、次の設定を有効にする必要があります
- 「一時ディレクトリをスキャンする」
- 「セッションディレクトリをスキャンする」
[クリーンアップ]タブ:
- 「無人ファイルの削除」、「WordPressファイルの回復」、「プラグインファイルの回復」を有効にする必要があります
- 「アップロードフォルダ内のファイル」設定のすべてのチェックボックスをオンにする必要があります
5.不要だと思われる場合でも、スパム対策保護を有効にします
[スパム対策エンジン]タブで、次の設定を有効にすることをお勧めします。
- 「コメントフォーム(ボット検出エンジンでコメントフォームを保護する)」
- 「登録フォーム(ボット検出エンジンで登録フォームを保護する)」
- 「その他のフォーム(ボット検出エンジンを使用してWebサイト上のすべてのフォームを保護します)」
6. GEOルールを使用する:取引しない国をブロックする
[セキュリティルール]管理ページで、ウェブサイトとのやり取りが許可されている国のGEOポリシーを構成します。フォームの送信、ログインまたは登録の可能性などです。これらの設定により、検索エンジンによるウェブサイトのインデックス作成が妨げられることはありません。
7.プラグインフォルダの名前を変更します
プラグインフォルダの名前を変更することは、WordPressの保護を強化する最も過小評価されている方法の1つです。それでも、それは無料で簡単です。
続きを読む: WordPressプラグインフォルダーの名前を変更する方法
8.2要素認証を有効にする
ユーザーアカウントを保護するには、2要素認証を有効にします。これは、ユーザー名とパスワードだけでなく、識別の2番目の要素を必要とする追加のセキュリティ層を提供します。
続きを読む: WordPressの2要素認証を有効にする方法