こんにちは!
見つけました。WordPressの最強セキュリティプラグイン。
以前、同じくWordPressのセキュリティプラグインの記事を書きました。
以前と言っても、見てみたら4年前の記事でびっくり。
4年前とは、WordPressそのものも、テーマも、プラグインの状況も大きく変わりました。
ということで、2021年10月現時点での、WordPressのセキュリティプラグインについて解説していきます。
セキュリティプラグインについて結論
4年前の記事でお勧めしていた「SiteGuard WP Plugin」と「Edit Author Slug」、さらには必須と言われていた「Akismet」いりません。
そして新たに「 XO Security 」と「 BBQ Firewall 」を強くお勧めします!!
セキュリティプラグインについてちょっと説明
4年前の記事も、間違えたことを書いたわけではないです。なので残してあります。
だけど、状況が変わりました。
ログインガードをしてくれていた「SiteGuard WP Plugin」と、投稿者スラッグを編集できる「 Edit Author Slug 」、さらにスパムコメントをはじいてくれていた「Akismet 」の働きを1つでしてくれるプラグインを見つけたのです。それが今回紹介する「 XO Security 」。
これ入れると、Akismetからもお別れできます。
AkismetはWordPress公式で出しているプラグインだし、めちゃくちゃ多くの人に使われているスパムコメント除けのプラグインです。私ももちろん使っていました。
でもね、このプラグイン、本当は有料なんです。
厳密には、商用サイトに使う場合は有料です。昔は善意で寄付してね、みたいな感じだったけど、今は商用サイトなら有料だとはっきり書いてあります。
サービスを売ったり集客ブログなんかの場合には、本当はお金を払わないといけないのかなと。
それを、知らん顔して抜け道通って無料で使うっていうのが、私は嫌だったんですよね。
そもそも、使うプラグインの数も、少ない方がいいしね。
善人みたいなこと言ってますが、無料は大好きです。
プラグイン「XO Security」とは
前置きはこのくらいにして、今回紹介する XO Security について。
前述したとおり、 SiteGuard WP Plugin と Edit Author Slug 、そして Akismet の合わせ技プラグインです。無料です。つよ。
ところで、あなたのWordPressのログイン画面、まさか丸腰のこれじゃないよね???
これの人いたら、そこに正座させて小一時間お説教します。
ダメだよ、危ないです。
ユーザー名は調べようと思ったらすぐ見えてしまうし、パスワードも「下手な鉄砲数うちゃ何とやら」で攻撃されたらいつか突破されてしまいます。
突破されて何が危ないのかというと、いつでもこっそり中をいじれる裏口を作られたり(バッグドアなんて言います)、他のサイトを攻撃するための起点にさせられたりするのです。
自分のサイトが壊されるだけならまだしも(よくないけど)、他のサイトを攻撃することにいつの間に関わっているなんて、嫌すぎませんか?人知れずめちゃくちゃ自分が悪者になって迷惑かけるなんて。
この丸腰のログイン情報に鎧を着せてあげて、丸見えなユーザー名を隠し、さらにスパムコメントをブロックしてくれるのがプラグイン「XO Security」です。
XO Security各種設定
さあ、ではこのつよつよプラグインを設定していきましょう。
まずはプラグインを検索してインストール→有効化します。
ダッシュボードの左側「設定」にマウスオーバーすると「XO Security」という文字が出てきます。
そこから詳細設定をしていきます。
「ステータス」タブは現在の設定を一覧で見られるタブなので、実際に設定するのは「ログイン」「コメント」「XML-RPC」「REST API」「秘匿」「環境」の6つのタブ内になります。
まずは「ログイン」の設定を。私はこのように設定してみました。
ログインページは今後必要に応じて変更するかもしれません。
それよりも大事なのが、ログインエラーメッセージを簡略化することと、ログインフォームにCAPTCHA(文字認証)を付けること。
これは必須だと思います。
次に「コメント」の設定をします。
ここがプラグインAkismetが担っていた部分ですね。
私はコメント欄を閉じてしまうので、どこまで必要かまだ分からないですが、お守り代わりに設定をしておきました。
そしてXML-RPCの設定です。
これは、ちょっと無効化をONにするか悩ましいところ。
画像では両方ONにしていますが、これだと XML-RPC を使っている一部プラグインが動かなくなったり、スマホアプリのWordPressからの操作ができなくなったりします。
その場合にはOFFにする必要があります。
ただ、 XML-RPC を利用しての不正ログインの事例も実際少なくないのです…。悩ましいところ!
そして、以下のように設定してユーザー情報を守ります。
そして秘匿タブ内。
ここの「投稿者スラッグの編集」をONにすることで、プラグイン「Edit Author Slug」の機能を担ってくれます。
プロフィール欄に、スラグの編集項目が追加されます。セキュリティ的には、ここを編集しても微力らしいのですが、一応…。
画像内のプラグインのスペル間違ってるよ!!!ごめん!
あと少し!
環境タブ内を見てみます。
ここはログインログを必ず設定しましょう。
ログインがいつどこから何の方法であって、それが成功したのか、失敗したのかの記録を残すのがログインログです。
ここの期間を設定しないと、延々とログがたまり続ける恐ろしい状態になるため、必ず期間設定を。
お疲れさまでした!!!
これで、設定はおしまいです。
プラグイン「BBQ Firewall」とは
ついでに合わせて、プラグイン「BBQ Firewall」 についても紹介します。
現時点では、 XO Security と BBQ Firewall の2つを合わせて使うのが一番お勧めです。
XO Security がログインを保護してくれるのに対し、BBQ Firewall は名前の通り楽しくBBQをしながらファイヤウォールを担ってくれます。
ごめんなさい。悪意を持ってあなたのサイトにアクセスしてくるものからあなたのサイトを守ってくれます。
BBQはBlock Bad Queries(ブロックバッドクエリ)の略です。お肉焼いて食べるやつじゃないです笑
こちらはプラグインの新規追加→インストール→有効化でOK。
細かい設定がいらないのは楽チンですな。
WordPressセキュリティプラグインまとめ
お疲れさまでした。
WordPressサイトを持つ以上、セキュリティ問題は避けられません。
いつどこで狙われるかも、悪意を持った人に利用されるかも、と考えたら、何らかの対策は必須です。
2021年10月現在、最良と思われる対策についてご紹介してみました! 「 XO Security 」と「 BBQ Firewall 」 お勧めです!!
「SiteGuard WP Plugin」「Edit Author Slug 」「Akismet 」 の3つのプラグインは、実際に私も使ってお世話になってきました。ありがとうございました!
また新しい情報が分かったら、シェアしていきたいと思います。
今日はここまで。読んでくれてありがとう!