Security Blog
Posted By Gregory

WordPress を効果的に保護する方法: やるべきことリスト

English version: How to protect WordPress effectively: a must-do list


Web サイトに高いセキュリティと耐久性のある保護を実現するための必須リスト。

Cerber のセキュリティ アルゴリズムを最大限に活用するには、以下のすべての設定を構成する必要があります。一部の設定は別のプラグインまたは Web サーバーの設定と競合する可能性があるため、これは慎重に行ってください。問題が発生した場合は、アクティビティ ログで、拒否された要求やブロックされた IP アドレスなどの関連イベントを確認してください。以下で説明する機能の一部は、プロフェッショナル バージョンでのみ利用できることに注意してください。

1.主な設定を確認する

  1. セキュリティエンジンの読み込み」を「標準モード」に設定します。

  2. 「カスタムログインURL」を設定する

  3. 「wp-login.php 認証リクエストの処理」を「wp-login.php へのアクセスをブロックする」に設定するか、より高度な「wp-login.php による認証を拒否する」に設定します。

  4. 「存在しないユーザー名でログインしようとしたときに IP をただちにブロックする」を有効にする

  5. 「ダッシュボードのリダイレクトを無効にする」を有効にする

  6. 必要に応じて、「wp-login.php へのリクエスト後、IP を即座にブロックする」を有効にします。

2. [強化] タブでセキュリティ ポリシーをアクティブ化します。

「WordPress の強化」セクションで有効にする必要がある最小限の設定セットは次のとおりです。

  1. 「ユーザーの列挙を停止」

  2. 「oEmbed によるユーザー名の検出を防止する」

  3. 「ユーザー XML サイトマップによるユーザー名の検出を防止する」

  4. 「ユーザー名によるユーザーページへのアクセスをブロックする」

  5. 「WordPress メディア フォルダー内の PHP スクリプトの実行をブロックする」

  6. 「PHPエラー表示を無効にする」

  7. 「XML-RPCを無効にする」

「WordPress REST API へのアクセス」セクションで次の設定を有効にすることをお勧めします。

  1. 「ユーザーの列挙を停止/REST API経由のユーザーデータへのアクセスをブロック」

  2. 「REST APIを無効にする」

  3. 「ログインユーザーにREST APIを許可する」

詳細: REST API へのアクセスを制限する

3. Traffic Inspector ファイアウォールを有効にする

  1. 「トラフィック検査を有効にする」を「最大セキュリティ」に設定します。

  2. 「エラーシールドを有効にする」を「最大セキュリティ」に設定します。

4. スケジュールされたマルウェア スキャンと自動マルウェア削除を有効にする

[設定]タブで、次の設定を有効にする必要があります。

  1. 「一時ディレクトリをスキャン」

  2. 「スキャンセッションディレクトリ」

[クリーンアップ]タブで:

  1. 「無人ファイルの削除」、「WordPress ファイルの回復」、「プラグイン ファイルの回復」を有効にする必要があります。

  2. 「アップロードフォルダー内のファイル」設定のすべてのチェックボックスをオンにする必要があります

5. 必要ないと思ってもスパム対策保護を有効にする

[スパム対策エンジン]タブで、次の設定を有効にすることをお勧めします。

  1. 「コメントフォーム(ボット検出エンジンでコメントフォームを保護)」

  2. 「登録フォーム(ボット検出エンジンで登録フォームを保護)」

  3. 「その他のフォーム (ボット検出エンジンで Web サイト上のすべてのフォームを保護)」

6. GEO ルールを使用する: 取引を行うつもりのない国をブロックする

セキュリティ ルール管理ページで、フォームの送信、ログインまたは登録の可能性など、Web サイトとの対話が許可されている国の GEO ポリシーを構成します。これらの設定は、検索エンジンによる Web サイトのインデックス作成を妨げるものではありません。

7. プラグインフォルダーの名前を変更します

プラグインフォルダーの名前の変更は、WordPress の保護を強化する最も過小評価されている方法の 1 つです。それでいて無料で簡単です。

続きを読む: WordPress プラグインフォルダーの名前を変更する方法

8. 二要素認証を有効にする

ユーザー アカウントを保護するには、2 要素認証 (2FA) を有効にします。これは、ユーザー名とパスワードだけでなく、2 番目の識別要素を必要とする追加のセキュリティ層を提供します。

続きを読む: WordPress の 2 要素認証を有効にする方法

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.