WordPress

サイト開設で403!焦らずにWordPressでやっておく9つの設定

更新日:

ドメインを取得して、早速新しいサイトページを開いて見たら何も表示されない。

嫁(仮)
403エラー!なんで〜?!

なんてビックリしたかもしれませんが、安心してください。

サーバーに購入したドメインを入力したら、その情報がネット上に広がり1〜2時間待てば403表示は消えます
これをドメインの浸透といいます。

しかし安心してドメイン浸透を待っていては、あなたのサイトはハッカーに乗っ取られるかもしれません。

なぜなら初期状態のWordPressは、セキュリティー"レベル1"の紙装甲だから!

ドメイン浸透前もWordPressは使えるので、今すぐに簡単にできて強力なセキュリティー対策をしちゃいましょう!

閲覧者からログインページを隠す

WordPressの初期状態は、ログインページに繋がる『メタ情報』が世界中に公開されています。

これままだと誰でもログインを試みられるので『外観』→『ウェジット』を開き、メタ情報を削除しましょう。

これでサイトに人が訪れても、1クリックでログインページに侵入する事は出来なくなりました。
しかし、まだ安心してはダメです。

「http://任意のドメイン/wp-login.php」と打つと誰でも、再びログインページに飛ぶことができます。

次はログインURLの変更をしましょう。

鉄壁の守り"SiteGuard"インストール

WordPressは配信されているプラグインをインストールすることで、様々な機能を追加することができます。

信頼できるセキュリティとして多くの人に利用されているのが、SiteGuardプラグインです。

SiteGuardの特徴

  • セキュリティに詳しくなくても簡単に操作できる
  • 配信元が法人で日本製品、金融機関や官公庁でも実装されている
  • ログイン関連のセキュリティが複数設置できる
  • 画像認証があり、ロボット攻撃の対策も可能
  • WordPressの脆弱で最も狙われやすいXMLRPC攻撃を無効化できる

インストール方法

step
1
メニュー欄から『プラグイン』→『新規追加』をクリック

step
2
キーワード欄でSiteGuardを検索して『今すぐインストール』をクリック

step
3
有効化する

インストール完了後に有効化のボタンを押せばOK!

SiteGuardの有効化〜設定

プラグインを有効化すると、ログインURLの変更が行われます。

ログインのやり直しが求められたり又は

ログインページURLが変更されました。
新しいログインページURLをブックマークしてください。設定変更はこちら

と表示がされます。

ログインURLは後で任意のものに変更できます。
ここではブックマークせず、WordPressのメニューバーから『SiteGuard』をクリックして各設定をしていきましょう。

注意ポイント

もしログインアウトして、ログインURLが分からなくなったら「http://あなたのドメイン/wp-admin」でログインページに飛べます。

設定項目

ダッシュボード

緑チェックが有効になっているセキュリティです。
ログイン履歴をチェックして、あなたのサイトへ不正にログインしようとしたアドレスがないか1度確認してみましょう。

WAFチューニングサポートは、契約サーバー側でも設定が可能なので今回は外します。

管理ページアクセス制限

ポイント

ログインせずに管理者ページを荒らそうとする攻撃から、WordPressを守る設定です。

ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを404(Not Found)で弾き返します。

ログインページ変更

ポイント

初めは5桁の乱数が表示されていますが、自由にオリジナルのURLへ変更が可能です。
設定すると「http://あなたのドメイン/wp-login.php」で、ログインページへ飛ばれる行動を防ぐことができます。

画像認証

ポイント

機械的なコメント欄へのスパム・ログイン攻撃からサイトを守ります。

画像認証が実装された画面

ログイン詳細エラーメッセージの無効化

ポイント

WordPressの通常ログイン設定では、ログイン時にユーザー名・パスワード・画像認証のどれかを間違えて入力すると、3つの内どれが間違っているのか丁寧に教えてくれます。

ハッカーにそんな親切は必要ないのですよね。
どれをミスしても「間違っています」と返す機能なので、絶対にれずONにしておきましょう。

ログインロック

ポイント

不正ログインの攻撃を受けた時に、指定回数失敗したら接続元のIPアドレスを一時的にブロックする機能です。

ログインアラート

ポイント

あなたのサイト管理画面へログインがあった場合、WordPressに設定したメールアドレスへ即座に通知が届きます。

サイト名:ユーザ名:日付:時刻:IPアドレス:ログインした機種の詳細まで、メールでチェックすることができます。

こんなメールがSiteGuardから届きます。

フェールワンス

ポイント

1回目のログインは、必ずエラーが発生します。
悪意ある相手が初回で正しいパスワードとIDを入力しても、エラーと表示されるのでハッタリをきかせる事が出来ます。

XMLRPC防御

ポイント

ピンバック機能を利用した攻撃からサイトを守ることができます。

ピンバック機能とは

別サイトの記事Aを参考に、あなたが記事Bを書いたとします。
他人の記事を参考にブログを書いた場合、参考元としてURLリンクを貼りますよね。

あなたが記事Bに、参考元として記事Aへ飛べるリンクを貼り付けると、記事Aを書いたサイト管理者にWordPressから「リンクが貼られましたよ」と自動通知が行くシステムの事です。

まとめ

ドメインの浸透期間中に、メタ情報の削除・SiteGuardプラグインをインストールして、ハッカーからあなたのWordPressを守りましょう。

WordPressSiteGuardプラグインを使い、一気に9つもセキュリティを設置できるのでWordPressの脆弱性に対する不安を解消することができます。

ぜひ今のうちにやってみてください!

Twitterで最新情報をGET!

-WordPress

Copyright© BLOG-SEED , 2021 All Rights Reserved.