WordPress 限らず Web サイトを運営していると良からぬ輩がやってきて不正アクセスを試みたりセキュリティの穴を探してきたり SPAM 投稿を行ってきたりくっそ面倒くさいです。このブログでも毎日不正ログイン試行してきたログが残っています。
なので Simple Login Lockdown や Google Authenticator, Akismet といったプラグインを利用したり WordPress 自身の自動アップデート機能でセキュリティの強化を行っています。
これらのセキュリティに関する機能を一括で導入できるのが WordPress Simple Firewall. 早速使ってみる。
http://wordpress.org/plugins/wp-simple-firewall/WordPress Simple Firewall でできる事
このプラグインでは以下の機能を導入できます
- 管理者アクセス制限
- ファイヤーウォール
- ログイン制限
- ユーザーマネージメント
- コメントスパム対策
- ロックダウン機能
- 自動アップデート
ざっとリストにしてみたけどコレだけだとわかりにくいですね。もうちょっと書いてみます。
管理者アクセス制限
WordPress Simple Firewall プラグインへのアクセスを制限します。
有効にするとアクセスキーを入力しないかぎりアクセスできなくなります。
ファイヤーウォール
IPアドレスによるホワイトリスト/ブラックリスト方式のアクセス制御を行ったり、リクエスト内容に ../, ../../etc/passwd といったパスの指定や SQL 文, PHP のコードなどが含んでいたりするとアクセスをブロックします。
ログイン制限
ブルートフォースアタック対策に一定時間内の連続ログインが無効になったり, IPアドレスやクッキーを利用した二要素認証を追加します。
ユーザ管理
ログイン時間や自動ログアウトの機能を追加します。
コメントスパム対策
所謂コメントスパム対策です。
自動アップデート
自動でアップデートします。
ロックダウン
プラグインやテーマファイルへのアクセスを制限したり、SSL ログインを強制したりしてます。多分。ここよくわからないけどそんな感じに見える。
WordPress Simple Firewall のインストール
管理画面のプラグイン追加画面より WordPress Simple Firewall で検索すると出てくるのでインストール -> 今すぐ有効化と進めましょう。
もしくは上記 URL よりダウンロードし、plugins ディレクトリへアップロード、管理画面より有効化しましょう。
WordPress Simple Firewall の設定
このプラグインでは機能毎にオン/オフを設定できるので必要な機能や理解している機能のみを有効化すると良いでしょう。僕はさきほど適当に設定してたらログイン不可能になってプラグインのデータ削除してました。やれやれ...。
WordPress Simple Firewall の設定を開くと下記のように機能毎に現在の状態を表示します。
ここから各機能のページで設定できます。