開発サーバー構築④(WordPressのセキュリティ設定)
前回の記事でWordPressのインストールまでを紹介しました。これまでで動作はするのですが、WordPressのセキュリティ設定をして安全性を高めたのでどういう設定を行ったかを紹介します。
SiteGuard WP Plugin
セキュリティ設定用のプラグインとして「SiteGuard WP Plugin」を選択しました。
プラグインのインストール
プラグインの新規追加画面で「SiteGuard WP Plugin」と検索して出てきたやつをインストールして、有効化しました。
色々設定できるようですが、このブログで設定変更てたのは以下の3つです。
- ログインページ変更
- 画像認証
- ログインロック
あとはデフォルトのまま使っています。
ログインページ変更
WordPressのログインページは「wp-login.php」で決まっていました。なので、https://dev.horrorgame.net/wp-login.phpにアクセスすることで、ログインページには辿り着けるわけです。不正アクセスをしようという輩はここでIDとパスワードの試行を行おうとするわけですが、そもそもログインページのアドレスを変えることでID/パスワードの試行すらできなくしてしまうわけです。
オプションに「管理者ページから~」という項目がありますが、これにもチェックを入れておきます。ログインページのアドレスを変えても、未ログイン状態で管理者用のページにアクセスするとログインページに自動で遷移してしまいます。これではログインページを隠した意味がありません。
試しにこちらへ行ってみると、「404:お探しのページが見つかりません。」と表示されますね。
https://dev.horrorgame.net/wp-admin/
画像認証
もしかするとデフォルトで有効になるのかもしれませんが、インストール時点で私のサーバーではgdを入れていなかったので無効状態でした…gdをインストールして有効化しています。
有効になると、ログイン画面がこうなります。
表示される4文字のひらがなを入力せいとなるわけですね。これにより、万が一ログインページのアドレスがバレでしまっても、画像認証を導入することでプログラムによる機械的なアクセスを防げる可能性があります。ただ、今どき画像解析の精度が上がってきているので、どの程度有効なのかは分かりませんが…
ログインロック
これもログインページがバレた場合の対処です。何回かパスワードを間違えるとロックがかかって、アクセスできなくする機能です。これがないと高速で無限にパスワードを試せるので、パスワードがバレやすくなります。もちろん、あっても時間をあければ試せるのでいつかはバレるかもしれません。
合わせて、ロックかけた履歴も見たいのですが、このプラグインにはないのかな…?ロック履歴を見て、不正アクセスしようとしている輩がいたらIPアドレスで制限かけるなどの対処もあってもいいかなと思います。
以上、WordPressのセキュリティ設定を紹介しました。説明はしませんでしたが、デフォルトで有効になっている機能も重要なものなのでONにしたまま運用しましょう。