WPを運用するにあたって重要なのはセキュリティです。
はっきり言ってWordPressは日常茶飯事で乗っ取られたり壊されたり監視されたりしています。セキュリティホールだらけなんですね。
(上記は知り合いの凄腕プログラマーが言っていたことなんですけどね。。。。)
そんなわけで 今回はセキュリティプラグインの使い方を説明していきます。
もちろん復元も大切なので、空のWPをローカルで復元できるかもためしてみたほうがよろしいでしょう。
バージョン情報を隠す
WPはバージョンによってとんでもない脆弱性を持っていたりして、クラッカーはそれを頼りにアタックを仕掛ける場合があります。
上記のチェックを入れることで、コード上にバージョンが表示されなくなります。
User Login項目
- Enable Login Lockdown Feature:のチェックを入れると、セキュリティ設定が有効になります。
- Max Login Attempts(ログイン試行回数)は3〜10
- Login Retry Time Period (min):(ログインできなかった場合のロックアウト時間)10〜60
- Time Length of Lockout (失敗した特定IPがログインできない時間)10〜60
- Instantly Lockout Invalid Usernames(システムにないIDの場合ロックアウト)オン
- Instantly Lockout Specific Usernames:(記述したIDでログインしようとするとロックアウト)testとかrootとか入れました。
Force Logout
チェックを入れて120とか入れると2時間後に強制的にログアウトさせることができる。
Brute Force
ログインページを変更するとができる。