WordPressのセキュリティを向上!

LINEで送る
Pocket

WordPressのセキュリティ設定を向上!

前回も書きましたが、wordpressのユーザー名ってadmin決め打ちです。
Passwordのブルートフォースアタックを受けたらいつかは破られてしまいます。
ということで対策をいくつか打っておきます。

プラグインのインストール方法について

今回はWordPressのプラグインを使って対策をとります。

プラグインのインストールはWordPressの管理画面から
Pluginインストール.png(31336 byte)
でインストールしたいプラグイン名を入力してインストールします。
今回使用するのは3つ

■「Admin rename extended」プラグイン

AdminRename.png
管理者ユーザー名を自由に変更できるプラグインです。
管理メニューの「プラグイン」->「Admin rename extended」を選択して新しい管理者ユーザーを入力して「Update」をクリックするだけ。
管理者ユーザー名が[admin]から「入力したユーザー名」に変わります。

これだけでもかなり有効なはず。
なお、いまさらですがパスワードの長さは13文字以上のランダム文字列すると安全性がかなり高まります

■「limit login attempts」プラグイン

sshの設定でDenyHostsをインストールしましたが、似たようなのことをWordPressでも設定しておきたいです
アクセスのリトライ回数を制限するプラグインです。
LimitLoginAttempts.png(23603 byte)
初期値は
リトライは4回まで
4回のリトライに失敗した場合は20分間ログインを遮断
続けて4回の遮断が発生したら24時間のログイン遮断
リトライ回数をリセットするのは12時間

詳しくは書きませんが、私はデフォルトと設定を変えています。

■「Captcha」プラグイン

コメントスパムを防止するためにCaptchaをインストールします。
パスワード入力時に簡単な計算式を計算させるプラグインです。
漢数字も使えていい感じです。
時々自分でも計算間違えてログインに失敗したりすることがあるのはご愛嬌
漢字が入った時のパターンの理解が間違っているのかしら?

※今回はわにノートさんのページhttp://mag.torumade.nu/
http:mag.torumade.nu/?p=11369を参考にさせていただきました。

ほとんど丸写しで申し訳ないです。

※あまりに丸写しで心苦しいので追記

■「StatPress Reloaded」アクセス解析プラグイン

アクセス解析の方法っていくつかあると思うのですが、現時点の私にはよくわからないのでWordPressのプラグインに頼ることにします。
検索で「StatPress Reloaded」と入力し「プラグインの検索」ボタンをクリックして見つかったらそのままインストール

英語のプラグインなので見やすくするために日本語化。
ECWorks Blog | 【WordPress】「StatPress」の日本語化ファイル公開
からプラグインを導入します。
StatPressReloaded_jp.png(128041 byte)

解凍したzipファイルに含まれるファイルを
wp-content/plugins/statpress-reloaded/locale/直下に配置します。

statpress-ja_JP.mo
statpress-ja_JP.po

テーマによってはうまく日本語化できないようなので

statpress-ja_JP.mo → statpress-ja.mo
statpress-ja_JP.po → statpress-ja.po

と名称変更したものもついでに配置しておきます。

来歴情報を見てみると・・・
StatPress.png(114875 byte)
なんかいろんな国からアクセスがありますね・・・こういうものなんでしょうか?

LINEで送る
Pocket