WordPressのセキュリティ対策のためにやっておきたいプラグインの設定を紹介

WordPressのセキュリティ対策 プラグイン編 WordPress

この記事では、「WordPressのプラグインでできるセキュリティ対策」をまとめて紹介します。

WordPressで作ったブログやサイトを悪意のある攻撃やスパムから守るためにも、きちんと対策をしましょう。

「WordPressやテーマ、プラグインを最新バージョンに保つ」

「何年も更新されていないプラグインは使用を避ける」

など、WordPress基本的なセキュリティ対策ももちろん必要です。

その上で、プラグインで設定しておきたいセキュリティ対策を紹介します。

WordPressのプラグインでできるセキュリティ対策

今回使用するプラグインと用途はこちらです。

  • Login rebuilder:ログインURLを変更する
  • Invisible reCaptcha:不正ログインを防ぐ
  • Akismet Anti-Spam:スパムを防ぐ
  • Contact Form 7:Akismetと連携してスパムメールを防ぐ
  • Edit Author Slug:ログインユーザー名を隠す

それぞれ紹介していきます。

※この記事はあくまでまとめです。プラグインの使い方や詳しい解説は、わかりやすい記事へのリンクを貼らせていただいています。

Login rebuilderでログインURLを変更する

WordPressのサイトの場合、ドメインに「/wp-admin」を追加することでログイン画面に遷移できてしまいます。

Login rebuilderは、ログイン画面のURLを変更し、「/wp-admin」で他の人がログイン画面にアクセスできてしまうのを防ぐプラグインです。

シンプルな設定画面で使いやすいプラグインです。

Login rebuilderの使い方は公式のこちらをご覧ください。
(WordPressのプラグイン管理画面からでもインストールできます)

Login rebuilderで変更したログインURLは、メモするなりブックマークするなりして忘れないようにしましょう。

Invisible reCaptchaで不正ログインを防ぐ

次に、認証システムで不正ログインを防ぎましょう。

今回はGoogle製の「Invisible reCaptcha」というプラグインを使用します。

Invisible reCaptchaの使い方はこちらの記事をご覧ください。

Akismet Anti-Spamでスパムを防ぐ

Akismetは、WordPressにデフォルトでインストールされているスパムコメント対策プラグインです。

これは設定されている方が多いと思います。

もし設定されていない方はAPIキーを取得し、設定しておきましょう。

Contact Form 7とAkismetを連携してスパムメールを防ぐ

「スパムコメントは防げたけど、お問い合わせから英語で変なメールがたくさん来る…」

と、お問い合わせ経由のスパムにお悩みの方もいるのではないでしょうか。

WordPressのお問い合わせ機能を実現するために、多くの方が「Contact Form 7」というプラグインを使用していると思います。

スパム対策のAkismetは、このContact Form 7にも使用できるので、連携することでお問い合わせからのスパム対策ができます。

Edit Author Slugでログインユーザー名を隠す

WordPressのログインに使うユーザー名は、何も対策をしていないとバレてしまうことがあります。

なぜかというと、著者のアーカイブページ(その人が書いた記事一覧ページ)のURLにログインユーザー名が表示されてしまうためです。

例えば、サイトのドメインに「/?author=1」のようにauthorクエリを追加して開くと、ユーザーのアーカイブページが表示されます。

試しに次のリンクをクリックしてみてください。

くまぺ | kumapeblog
WordPressのブログのことを書くブログ

開いてみると、URLの最後が「kumape」になっているかと思います。

もし対策をしていない場合、この部分にログインユーザー名が表示されてしまいます。

このサイトの場合、実際のログインユーザー名は違う文字列ですが、このサイトでは既に対策を行なっているため、ログインユーザー名が表示されず、代わりに「kumape」が表示されています。

このように、ログインユーザー名を隠して、代わりにログインユーザー名が表示されるように設定しましょう。

しかし、「ユーザー名は隠さなくてもよい」という見方も増えているようです。

「ユーザー名を隠す」よりも、「ログインURLを変更する」や「ログインに認証システムを導入」の方が優先度が高いとのこと。

記事を拝見して、確かにその通りだなと思いました。

ログインURLの変更や、ログインに認証システムの導入を優先的に行いたいところです。

ただ、ユーザー名を隠しておくに越したことはないので、

上記のような対策をした上で、不安な人やユーザー名に個人情報を入れた等の理由で隠したい人は設定しましょう。

これは、「Edit Author Slug」というプラグインで設定できます。

Edit Author Slugの使い方は、下記の記事を参考にしてください。

(著者ページへのアクセスの無効化は、Login rebuilderでも可能です)

まとめ

今回は、WordPressのプラグインを用いた以下のセキュリティ対策を紹介しました。

  • Login rebuilder:ログインURLを変更する
  • Invisible reCaptcha:不正ログインを防ぐ
  • Akismet Anti-Spam:スパムを防ぐ
  • Contact Form 7:Akismetと連携してスパムメールを防ぐ
  • Edit Author Slug:ログインユーザー名を隠す

他にもございましたらコメントやツイッターのリプライで教えていただけると嬉しいです。

よろしければTwitterのフォロー(@bearpe_)もぜひ。

コメント

タイトルとURLをコピーしました