All In One WP Security & Firewallでワードプレスのセキュリティ強化

2015年1月21日2015年1月30日

このブログも立ち上げて数ヶ月が経過、まだ記事数も少ないですがポツポツとコメントがつくようになってきました…はい、スパムコメントですけどね。

ワードプレスのスパム対策と言えばAkismetというプラグインが定番、最初からインストールしてあるプラグインですので使っている方も多いでしょう。

アカウントを有効化すれば機能するんですが、使わないとどうなるのかとテスト的にほったらかしておいたんですが、さすがにスパムコメントが邪魔になってきたので対策をしてみましたというお話。

「All In One WP Security & Firewall」プラグインを導入

ワードプレスのスパム対策ですが、どうせやるならセキュリティ強化も一緒に出来る「All In One WP Security & Firewall」を導入してみました。

なんかいろいろ出来るみたいです。

All In One WP Security & Firewallの設定

All In One WP Security & Firewallインストール時点でのダッシュボードがこちら↓

イエローゾーンですね…さっそく設定していきます。

settings～ワードプレスのバージョンを不明にする

OSなどもそうですけど、バージョンによっての脆弱性が狙われるケースがあるそうなので、この「settings」の設定でワードプレスのバージョンを非表示にします。

「settings」画面を開き、「WP Meta Info」タブをクリック。

チェックボックスをチェックして「Save Settings」をクリック。

「5/5」になればＯＫ、完了です。

User Accounts～ログインIDとユーザー名を変える

ワードプレスは初期設定のままだとログインIDとユーザー名が同じになっています。投稿画面にユーザー名が表示されるテーマもありますし、コメントに返信するとユーザー名は表示されますからここからログインIDを推測されかねません。

「User Accounts」の設定でログインIDとユーザー名を変えて対策します。

「 User Accounts」を開き、「Display Name」タブをクリック。

ログイン名をクリック。

別タブでプロフィール画面が開きます。「ニックネーム」をユーザー名と違うものに変更して、「ブログ上の表示名」はユーザー名ではなくニックネームに記入したものを選択します。

入力が終ったら「プロフィールを更新」をクリック。

Display Nameの画面に戻って更新（F5)。先ほどと同じく5/5になっていればＯＫ。完了です。

ログインIDとユーザー名はワードプレスインストール時に変更しておくのが最善ですね。

SPAM Prevention～スパムコメントをブロックする

今回の作業のメインですね。それにしてもこの手のスパムというのはなくなりませんね。bot使って手間はかからないにしても、seo効果や某かの収益はあるんでしょうか？

余計な心配はさておき「SPAM Prevention」の設定でスパムコメントをブロックします。

「SPAM Prevention」を開き、「Block Spambots From Posting Comments:」にチェック、「Save Settings」をクリック。

「10/10」になっていればOKですね。完了です。

---

 

All In One WP Security & Firewall設定後のダッシュボードです。

ちょっと見難いですけどだいぶ改善されました。All In One WP Security & Firewallにはまだまだいろいろな機能がありますが、今回はこれで終了にします。

ワードプレスのセキュリティ対策に終わりはない…

ロリポップで問題になった不正アクセスの件もあったので、ログイン試行回数の制限も必要ですが、私が使っているwpxサーバーは対応しているので設定は不要でした。

実はこのブログも最初はロリポップで始めたのですが、「ロリポップでWordPressログイン画面へのアクセス制限」で書いたようなことがあったりしたので思い切ってサーバー移転しました。

ロリポップサーバー自体はまだ契約していますが、今後はどう改善されていくんですかね？

そんなことよりもスパマーはいなくなることは無いようですから、セキュリティ対策にも終わりは無いでしょうね。All In One WP Security & Firewallがあれば大丈夫！とは言い切れませんが、最低限の対策として導入をおすすめしたいです。