ワードプレスブログに絶対マストなのはセキュリティ対策プラグインです!ワードプレスの管理画面からログインされてブログを書き替えられたり、真っ白にされてはかないませんから!
サイバーアタックを防止するために万全を尽くすためのプラグインが『WP-Cerber Security, Anti-spam & Malware Scan』です。設定がかなり細かくてブログ初心者さんだとよくわからないかもしれないので、とにかく真似してください!
私はもともとは別のセキュリティプラグイン『SiteGuard WP Plugin』を使っていたのですが、いつもお世話になっている企業のセキュリティ担当の方からこちらのプラグインを教えていただきました。設定もWebセキュリティ担当の方直々に設定して頂いたものをこの記事ではご紹介します。
この記事では『WP-Cerber』の設定方法を図解で詳しく解説します!特に私のように海外在住のワードプレスユーザー、ブロガーはセキュリティ対策は万全にしておいてくださいね!
海外在住者はワードプレスのセキュリティ対策を万全にすべき理由
ワードプレスのセキュリティは誰もが万全にしておくべきなのですが、特に海外在住者はエックスサーバー利用だと「国外IPアクセス制限」からのログインを許可した状態でないとそもそもワードプレスの管理画面にログインできないため、この「国外IPアクセス制限」の設定をOFFにしています。日本国内でエックスサーバーを利用している人は「国外IPアクセス制限」がONなので海外在住者の私たちはちょっとリスクが高いんですね。
国外IPアクセス制限がONだとログイン不可
ちなみにMixhostも利用していますが、Mixhostでは特に国外IPアクセス制限を解除する手続きは必要ないので、たとえ日本国内からのワードプレス利用でもどのみちリスク対策は万全にした方がよいのです。
【セキュリティ対策プラグイン】WP-Cerberで出来ること
- ワードプレス管理画面への不正なログインを防ぐ
- スパムコメントをはじく
- スパム行為を拒否
- ログイン試行する悪意のあるIPアドレスを検出
- ログイン履歴の記録を保存
- 存在しないユーザー名などでのログイン試行はロックアウトする
- 任意のログインURLを作成できる
- reCAPTCHAを導入できる
- メールで1週間の状況を報告してくれる
ワードプレスのセキュリティ対策は本当に大事です!とにかくこの『WP-Cerber』は今すぐインストールしてください!
ココがポイント
この『WP-Cerber』を使用するならスパムコメント対策プラグインの『Akismet』はもう必要ありません。
その他のサイバーアタック防止対策
- ワードプレスのバージョンを最新のものにしておく
- プラグインは最新のものにしておく
- テーマを最新のものにしておく
- PHPのバージョンを最新のものにしておく※サーバーで更新する
更新する場合は事前に必ずバックアップを取っておくこと!
-
-
【バックアッププラグイン】UpdraftPlusの設定方法!自動&手動バックアップも簡単!復元も1クリック
ワードプレスブログのバックアップ用プラグイン『UpdraftPlus(アップドラフトプラス)』の設定方法を解説します。と ...
続きを見る
ワードプレスのバージョンの更新は慎重にやらないとだめです。不具合の報告がないかググってから更新しましょうね!
『ワードプレス5.6.1 不具合』『ワードプレス5.6.1 AFFINGER 不具合』など自分の使っているテーマとの不具合がないかも確認してください。
『WP-Cerber』の設定方法
まずはワードプレスの管理画面からプラグインへ行き、新規追加から『WP-Cerber』または『Cerber Security, Anti-spam & Malware Scan』と検索してください。ワンちゃんのマークの『Cerber Security, Anti-spam & Malware Scan』が正式名称です。
インストールして有効化しましょう。完了すると、ワードプレスの管理画面の左のバーにWP-Cerberという項目が出来ます。
ダッシュボードから設定を始めていきます。
step
1「メイン設定」タブへ
おすすめの設定
- セキュリティエンジンのロード:レガシーモードから通常モードへ変更
- ログイン試行回数制限:30分以内で5回試行を許可※任意でOK
- Block IP address for:そのIPアドレスを60分ブロックする
- Mitigate aggressive attempts:過去24時間の2回ロックアウト後、ロックアウト期間を4時間に延長します
さらに詳しく
自分だけがそのブログにログインする場合はこの設定でよいですが、複数の外注ライターさんがそのブログにログインする場合は少し緩くしてログイン試行回数制限は15分以内に10回試行を許可にしておくとよいですよ。
- 存在しないユーザー:ON
- ダッシュボードのリダイレクトを無効化:ON
- wp-login.phpをリクエスト:ON
- カスタムログインURL:任意の英数字文字列を設定※既存のページやパーマリンクとかぶらないもの
- wp-login.phpを無効化:ON
ココがポイント
カスタムログインURLを推測が難しいものに設定することでワードプレス管理画面への不正アクセスを防ぐので、長くて難しい文字列にしましょう!メモっておかないと後でログインできなくなりますから、必ずメモを取ってくださいね。
ここでカスタムログインURL設定前のログインURLは、https://ドメイン名/wp-admin/となっています。これは誰でも知ることができるので危ないんです!ここを推測が難しい文字列でカスタムログインURL設定ができるからこそこのWP-Cerberは素晴らしいセキュリティを発揮するのです。
ログインできないエラーの場合
私も経験がありますが、ある日突然カスタムログインURLからログインができなくなりました!世界的にIPアドレスが変更になったことが原因でしたが、その場合はレンタルサーバーのファイルマネージャーからwp-content>plugins>wp-cerberへ行き、プラグイン『WP-Cerber』をいったん削除して、https://ドメイン名/wp-admin/でログインしたら、WP-Cerberを再度インストールすればOKです。設定はそのまま残っています。
- Enable authenticationlog monitorling:ログイン記録を取ることを許可する
- しきい値、期間はデフォルトのまま
- 通知:設定しているメールアドレスにレポートを送ってくれます
- Cerber Lab接続:悪意あるIPアドレスを記録してくれる
- Cerber Labプロトコル:デフォルトではHTTPになっているのでHTTPSにする
- 仕様ファイル:失敗したログイン試行のデータを保存してくれる
- IPのドリルダウン:記録したIPアドレスのWHOIS情報を取得
step
2「強化設定」タブへ
- ユーザーIDによる表示を停止:ON
- PHPエラー表示を無効化:ON
- XML-RPCを無効化:ON ※デフォルトはOFFなのでONにする
- ユーザーIDによる表示を停止:ON
このあとはAnti-Spam設定へ行きます!
『WP-Cerber』のAnti-Spam設定方法
Anti-Spamから設定します。
- 登録フォーム:ON
- コメントフォーム:ON
- その他のフォーム:ON
- Logged-in users:ON
- スパムコメントが検出された場合:完全拒否
- スパムコメントを削除:ON 3日経ったらゴミ箱へ
これで設定は完了!
Anti-SpamのreCaptcha設定はスパム対策プラグイン『Invisible reCaptcha for WordPress』を使用するので『WP-Cerber』では利用しなくてOKです。
『WP-Cerber』のreCaptcha設定方法
スパム対策プラグイン『Invisible reCaptcha for WordPress』を使用する人はこの設定はしないでください。
-
-
【スパム対策】Invisible reCaptchaの設定方法!Contact form7利用者は必須!スパムメールのお悩み解決プラグイン
ワードプレスブログ運営で一番大事なのはセキュリティ対策だと思います!ワードプレスの乗っ取りやブログの書き換えなど怖いこと ...
続きを見る
reCaptchaとは、スパム対策だと思って頂ければOKです。
コメントフォームなどでみるこのマークがreCaptchaです。Googleが無料で利用させてくれます。『ロボットではありません』などでよく見かけると思います。
- サイトキー:reCaptchaサイトで取得
- シークレットキー:reCaptchaサイトで取得
- ログインフォーム:ON
- Anti-Spam:ON
これで設定は完了です。
『WP-Cerber』のreCaptcha設定では、プラグイン『Contact form7』のお問い合わせフォームへのreCaptcha設定ができないので別途『Invisible reCaptcha for WordPress』を利用する方がおすすめです。
reCaptchaのサイトキー&シークレットキーの取得方法
使用するGoogleアカウントにrpグインした状態で、reCaptcha公式サイトへ行きます。
一度アカウント開設したら2度目からはすぐにログインできるようになります。
step
1reCaptchaのアカウントを作成
流れに沿ってアカウント開設してください。
step
2新しいサイトを登録する
ココがポイント
reCaptchav2とv3の違いは、v2は「ロボットではありません」のチェック欄が表示されるのに対して、v3はマウスの動きなどでボットか判定します。おすすめはv3です。
さらに下に進み、アラートをオーナーに送信するにチェックをいれて送信。
step
3サイトキー&シークレットキーをコピーする
この画面を開いたまま、『WP-Cerber』のreCaptcha設定でサイトキーとシークレットキーを入力して変更を保存をしてください。
まとめ
この記事のまとめ
- とにかく今すぐ『WP-Cerber』でセキュリティ対策をすべき
- カスタムログインURLは必ず利用する
- Anti-Spam設定のreCaptchaより『Invisible reCaptcha for WordPress』を併用する方がおすすめ
