前回は、WordPressを使用したサイトへの不正アクセスと、セキュリティ対策として実施していることで記事を書きましたが、プラグインの多用による応答速度の低下、及び、その後の不正ログインの試行、不正アクセスの試行の状況から独断と偏見で判断して、2016年10月5日時点では、必要最小限と思われるセキュリティ対策をしていますので、今後の再構築、再設定の備忘録としてメモしておきます。
WordPress を使用したサイトへのセキュリティ対策として実施していること(その2)
管理画面へのログイン用パスワード
「管理画面」-「ユーザー」-「あなたのプロフィール」画面を開く。
「新しいパスワード」の行で「パスワードを生成する」をクリックすると、24文字(142bits)のパスワードが自動生成される。
私は、6つのサイトの24文字のパスワードを、フリーソフトの KeePass Password Safe で管理中です。
ブログ上の表示名
「管理画面」-「ユーザー」-「あなたのプロフィール」画面の「ブログ上の表示名」で、上の行の「ニックネーム」で設定した「ニックネーム」を選択する。
「ユーザー名」は絶対に選択しないこと。
「Edit Author Slug」プラグイン(ユーザー名の晒し防止)
「Edit Author Slug」プラグインをインストールし有効化する。
設定画面(下図)は初期設定のまま。
「管理画面」-「ユーザー」-「あなたのプロフィール」画面へ「Author Slug」の項目が追加表示されるで「Custom」にチェックを入れて、空欄へ「適当な文字列」を入力。
「ユーザー名」や「ニックネーム」は絶対に使用しないこと。
例えば、「適当な文字列」として「baka」と入力して、ブラウザのURL入力欄へ「ブログのURL/?author=1」と入力すると、「ブログのURL/***/author/baka」と表示されて、「Author Slug」への設定した内容が晒される。
「SiteGuard WP Plugin」プラグイン(不正ログイン防止)
「SiteGuard WP Plugin」プラグインをインストールし有効化する。
使用している機能は下図の通りです。・・・詳細設定は省略。
下図がログイン画面。
「WP-Ban」プラグイン(アクセス制限や拒否を設定)
「Wp-Ban」プラグインをインストールし有効化する。
設定画面で「Banned IP Range」、「Banned Host Names」などに、アクセスを拒否したいIPアドレス、ホスト名などを設定する。
「Banned Host Names」に、「*」は間違っても設定しないこと。
設定した場合は、自分自身もサイトは開かないし、管理画面へのログインも不可能になる。
参考・・・管理画面や編集画面への不正ログイン、不正アクセスを試行する輩は、ロシア、ポーランド経由が非常に多いです。
「Banned Message」には、アクセス拒否された理由などを表示するようにしておけば親切(???)
「WP-Ban」プラグインの異常動作
なお、「Wp-Ban」については、ある特定のファイルだけがアクセス制限されて閲覧不可能になることがあります。
この現象は私が実際に経験したことであり、素人の私には原因は判りません。
「Wp-Ban」を「停止」して「削除」しても治らないので、何らかのファイルに設定値が間違って書き込まれているのではないかと思います。
私は、アクセス制限されたファイルを複製し、「Redirection」プラグインを使って、旧URLから新URLへ「URL転送」しておくようにしておきました。・・・旧ファイルは削除してあります。