投稿日: 投稿者: iwbjp

WordPressプラグイン CloudSecure WP Securityの使い方と注意点

WordPressプラグイン CloudSecure WP Securityの使い方と注意点

CloudSecure WP Securityとは

CloudSecure WP SecurityとはWordPressのセキュリティ対策プラグインです。

WordPressはデフォルトの状態だとセキュリティが脆弱なため、セキュリティ対策プラグインのインストールが必要です。

いままでもセキュリティ対策プラグインはあったのですが、日本語に完全対応したものがなく、英語ができない日本人には使いにくいものでした。

例えば、よくインストールされている「All In One WP Security」だと、下図のように一部だけしか日本語化されないので、英語が苦手な方には不向きです。

All In One WP Security

CloudSecure WP Securityは日本企業のクラウドセキュア株式会社が制作した国産プラグインなので日本語に完全対応しています。

WordPressプラグイン CloudSecure WP Securityの使い方と注意点

CloudSecure WP Securityをインストールすると、いくつかの項目は上図のように有効化されています。

CloudSecure WP Securityのインストール方法は以下の記事に書かれています。

日本語対応のWordPressプラグイン「CloudSecure WP Security」のインストール方法と注意点

各項目の設定の詳細は以下の通りです。

ログイン無効化

指定した期間内にログイン失敗回数が指定した回数に達した場合、指定した時間ログインを無効化(ブロック)します。

CloudSecure WP Security ログイン無効化

ログイン無効時間が最大でも300秒しか設定できないので、セキュリティは他のプラグインに比べて脆弱です。

ログインURL変更

ログインURL(wp-login.php)を変更します。

CloudSecure WP Security ログインURL変更

WordPressを使用しているWebサイトは何も対策をしていないと、URLのうしろに「/wp-login.php」を追加してアクセスするとログインページが表示されてしまいます。

例) https://colabo-official.net/wp-login.php

そのため、ログインURLは変更したほうが第三者によるログインページのアクセスを防ぎやすくなります。

※ これだけだとセキュリティが不十分なので、BASIC認証も追加したほうが良いです。

ログインエラーメッセージ統一

ログインに関するエラーメッセージについて、ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示します。

CloudSecure WP Security ログインエラーメッセージ統一

WordPressはデフォルトだとユーザー名が正しいと「パスワードを入力してください。」とだけ表示されます。

これだと不正ログインされる可能性が高くなってしまうので、ログインエラーメッセージは統一したほうが良いです。

管理画面アクセス制限

管理画面にログインしていない接続元IPアドレスから管理ページ(/wp-admin/以降)にアクセスすると、404エラー(Not Found)を返します。

CloudSecure WP Security 管理画面アクセス制限

第三者にアクセスされると、情報漏洩やサーバー負荷となる場合があるので、特に理由がなければ管理画面はアクセス制限したほうが良いです。

ただし、この機能はmod_rewriteがサーバーにロードされていないと使えません。

ユーザー名漏えい防止

「?author=数字」でのアクセスによるユーザー名の漏えいを防止します。

CloudSecure WP Security ユーザー名漏えい防止

WordPressを使用しているWebサイトは何も対策をしていないと、URLのうしろに「/?author=1」を追加してアクセスするとユーザー名が表示されてしまいます。

例) https://colabo-official.net/?author=1

WordPressではログイン時にユーザー名とパスワードを入力するので、ユーザー名が第三者に知られてしまうと、不正ログインされる可能性が高くなります。

XML-RPC無効化

XML-RPC機能、またはピンバック機能を無効にし、XML-RPC経由での不正ログインを防ぎます。

CloudSecure WP Security XML-RPC無効化

ピンバック無効にすればトラックバックやコメントのスパム防止になります。

REST API無効化

REST APIの悪用を防ぐため、機能自体を無効化します。

CloudSecure WP Security REST API無効化

セキュリティを強化できる反面、プラグインを適切に除外しておかないと、プラグインが正常に機能しなくなる可能性があるため、知識のない人は有効化しないほうが良いです。

画像認証追加

画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにする機能です。

CloudSecure WP Security 画像認証追加

画像認証のセキュリティはあまり高くないので、ログインフォームにはGoogle Authenticatorプラグインなどで2段階認証機能を追加したほうが良いです。

ログイン通知

ログインがあったとき、ユーザーにメールで通知します。

CloudSecure WP Security ログイン通知

通知先のメールアドレスはWordPressの一般設定の「管理者メールアドレス」宛となっており、複数のメールアドレスを設定できないので不便。

アップデート通知

WordPress、プラグイン、テーマの更新が必要になったとき、管理者にメールで通知します。

CloudSecure WP Security アップデート通知

こちらも管理者メールアドレス宛となっており、複数のメールアドレスを設定できないので不便。

ログイン履歴

管理画面にログインした履歴を表示します。

CloudSecure WP Security ログイン履歴

将来は有料版がリリースされる?

CloudSecure WP Securityプラグインは「バージョン 1.0.0」がリリースしたばかりなので機能が少ない。

また、今後アップデートにより機能が追加されていくと思うが、将来的には多機能の有料版がリリースされると思われる。

機能が少なく日本語なのでWordPress初心者には扱いやすいが、逆に機能が少ないということはセキュリティ対策で設定できることも少ないので、中級者以上にはオススメできないです。

関連する記事

  1. 日本語対応のWordPressプラグイン「CloudSecure WP Security」のインストール方法と注意点

    日本語対応のWordPressプラグイン「CloudSecure WP Security」のインストール方法と注意点
  2. ColaboのWebサイトは不正ログインで内部のファイルを盗まれている可能性あり

    ColaboのWebサイトは不正ログインで内部のファイルを盗まれている可能性あり
  3. 【WordPressプラグイン】ひたすら楽してWebサイト運用

    【WordPressプラグイン】ひたすら楽してWebサイト運用