WordPressのログイン画面はデフォルトだと
サイトURL/wp-login.php
ですが これだと、誰でも簡単にログイン画面を見られることになってしまいます。
パスワードを複雑にしていればそう簡単に入られることはないにしても、ログイン画面を見られてしまうことじたいがあまり良くないとされます。
そこでプラグインを使ってログインURLを変更
そのようなセキュリティ系プラグインのうち 今回はデータベースやファイヤーウォール等あらゆる設定ができる「All In One WP Security&Firewall」をメモ
All In One WP Security&Firewall
プラグイン新規追加からインストールして有効化
ダッシュボードに「WP セキュリティ」というメニューが出てきます
ログインページのURLを変更
「総当たり攻撃」というメニューを選択
ログインページの名称を変更タブ内で
「ログインページの名前変更機能を有効化」にチェックを入れ
「ログインページURL」で好きなURLを設定します
ほか、使用すると良いとされるものは
データベースの接頭辞を変更
データベースでよくある接頭辞wp_などのままにしておくのもセキュリティ上よくないとされ、この接頭辞を変えることができます。
さらにデータベースのバックアップもとってくれます
ファイヤーウォールの設定
- .htaceessファイルへのアクセスを拒否
- アップロードサイズを制限
- wp-config.php ファイルへのアクセスを拒否
などの基本的なファイヤーウォールの設定を行ってくれます
ユーザーログインに関する設定
- 最大ログイン試行回数の設定(何回も間違えると一定期間ログインできなくする)
- 特定のIPアドレスがログインできないようにする
- システムに存在しないユーザー名ではログインできない
などなど
ダッシュボードではセキュリティ強度の割合を点数で出してくれます
たくさん設定するほど点数が上がる仕組み
プラグインなので慎重にバックアップを取りつつ…
できる限りのセキュリティ対策は行っておきたいものです
コメント