(1)セキュリティ設定(一般設定)の使い方
このセクションでは、セキュリティ設定(一般設定)の使い方をご紹介しています。
一般設定は、デフォルトでは全ての設定項目が「ON」になっています。
セキュリティ上、全てONの状態がおすすめの状態ですので、原則的に設定を変更せず、全て「ON」のままでOKです。
設定変更が必要な場合は、その項目のみ「OFF」にしてください。
Step1.「セキュリティ設定」→「一般」へ進む
(1)はじめに、「セキュリティ設定」→「一般」に進みます。
(2)一般設定は、デフォルトでは全て「ON」の状態になっていますので、設定の変更が必要な方は、変更が必要な項目を「OFF」にします。
(3)最後に、「変更を保存」を押して下さい。
各設定項目については、下記↓に詳しい解説を記しています。
一般設定の設定内容に関する解説
(1)ユーザー情報を公開するREST APIの無効化
ユーザー情報(管理者のユーザー情報など)を公開する「REST API」を無効化することで、ユーザー名が特定されるのを防ぎます。
※「REST API」を利用してユーザー情報を取得している外部機能でエラーが発生する場合は、OFFにしてください。
(2)authorクエリによる著者アーカイブへのリダイレクトの無効化
「author=1」といったユーザーIDによるクエリパラメータで著者のアーカイブ画面が表示されてしまうことにより、ユーザー名が特定されることを防ぎます。
(3)XML-RPC機能の無効化
WordPressに標準搭載されている機能で、外部からのリモートアクセスや操作を可能にする「XML-RPC」を無効化することで、この機能を利用したDDoS攻撃・ブルートフォース攻撃を防ぎます。
※XML-RPCを利用している外部機能でエラーが発生する場合は、OFFにしてください。
※ピンバック機能を利用したい場合は、OFFにしてください。
(4)テーマファイルエディター機能の無効化
WordPressの管理画面からアクセスできるテーマファイルエディター(外観→テーマファイルエディター) を 無効化(非表示) にすることで、この機能を使用して誤ってサイトを壊してしまったり、不正ログインによりサイトが改ざんされてしまうことを防ぎます。
(2)「ログインページのURL変更」の使い方
このセクションでは、管理画面のログインページURLの変更機能の使い方をご紹介しています。
「ログインページのURL変更」とは?
通常、管理画面のログインページURLは、
- example.com/wp-login.php
- example.com/wp-admin
となっており、外部の第三者からも容易にURLを推測することができます。
そこで、ログインページURLを推測され難い文字列に変更することで、自動ツールを使った総当たり(ブルートフォース)攻撃による不正ログインを防ぐことができます。
Step1.「セキュリティ設定」→「ログインページのURL変更」へ進む
(1)はじめに、「セキュリティ設定」→「ログインページのURL変更」に進みます。
(2)「ログインページのURL変更」で、「ON」を選択します。
(3)「ログインページURL」に、希望する文字列を入力します。
※外部の第三者から推測され難い文字列を選びましょう。
(4)最後に、「変更を保存」を押して下さい。
(3)「ログインロック」の使い方
このセクションでは、ログインロックの使い方をご紹介しています。
「ログインロック」とは?
ログインロックは、ログイン失敗を繰り返したユーザーアカウントを一時的にロックし、ログインできなくすることで不正アクセスを防止する機能です。
一定回数のログイン失敗があると、一定時間アカウントをロックし、ログインできない状態にします。
Step1.「セキュリティ設定」→「ログインロック」へ進む
(1)はじめに、「セキュリティ設定」→「ログインロック」に進みます。
(2)ログインロック設定で、「ON」を選択します。
(3)「アカウントをロックするログイン失敗回数」で、数値を入力します。
※設定した回数ログインに失敗すると、失敗したアカウントがロックされて、一定時間ログインできなくなります。
(4)「アカウントをロックする時間」で、数値を入力します。
※ロックが解除されるまでの時間を設定する項目です。
(5)最後に、「変更を保存」を押して下さい。
- 1
- 2