今回は、WordPressプラグイン「CloudSecure WP Security」について調べてみました。
クラウドセキュア株式会社が開発する国産のセキュリティ対策プラグインで、日本語で利用することができます。
無料で利用することができ、日本人が非常に使いやすいプラグインになっています。
「CloudSecure WP Security」は、リリースされたばかりのプラグインで情報量がまだまだ少なかった為、実際にインストールして使っています。
プラグインのインストール方法や使い方を中心にまとめているので、WordPressのセキュリティ強化を行いたい方はチェックしてみてください。
因みに、実際に使った感想としては、設定項目は多いですが、シンプルな画面設計で使いやすいです。
また、以下のような機能を利用することができます。
- ログイン無効化
- ログインURL変更
- ログインエラーメッセージ統一
- 管理画面アクセス制限
- ユーザー名漏えい防止
- XML-RPC無効化
- REST API 無効化
- 画像認証追加
- ログイン通知
- アップデート通知
- ログイン履歴
コンテンツ
CloudSecure WP Securityのインストール
まずは、「CloudSecure WP Security」のインストール方法から説明します。
「CloudSecure WP Security」は、現時点ではWordPressの公式プラグインには登録されていません。
その為、まずは「CloudSecure WP Security」の公式サイトからファイルをダウンロードしてきてインストールする必要があります。
「CloudSecure WP Security」の公式サイトはコチラです。
https://wpplugin.cloudsecure.ne.jp/cloudsecure_wp_security/download.php
↓
「CloudSecure WP Security」のファイルはZIPになっているので、お使いのパソコンのデスクトップにでも保存しておいてください。
次は、WordPressの管理画面へ移動してください。
↓
WordPress管理画面のプラグインインストール画面を開いて、「新規追加」をクリックしてください。
↓
「プラグインのアップロード」のリンクをクリックしてください。
↓
このような画面が開くので、「参照」をクリックしてください。
↓
公式サイトからダウンロードしておいたZIPファイルを選択してください。
↓
「今すぐインストール」をクリックします。
↓
これでインストールが完了しました。
「プラグインを有効化」をクリックしてください。
↓
これで、「CloudSecure WP Security」が有効化されました。
「CloudSecure WP Security」のインストールはこれで完了です。
簡単ですね。
次は、「CloudSecure WP Security」の細かな設定を行っていきます。
↓
CloudSecure WP Securityの設定
WordPress管理画面の左カラムにある「CloudSecure WP Security」のメニューを選択します。
↓
「CloudSecure WP Security」のダッシュボードが開きます。
セキュリティに関する項目はこちらです。
通知とログイン履歴の項目もあります。
まとめると、設定できる項目はこちらになります。
- ログイン無効化
- ログインURL変更
- ログインエラーメッセージ統一
- 管理画面アクセス制限
- ユーザー名漏えい防止
- XML-RPC無効化
- REST API 無効化
- 画像認証追加
- ログイン通知
- アップデート通知
- ログイン履歴
それでは、各項目について説明していきます。
↓
ログイン無効化
「ログイン無効化」では、ログイン試行回数の設定を行います。
「間隔」で指定した時間内に指定した回数連続でログインに失敗すると、制限されることになります。
「ログイン無効時間」を過ぎると、制限が解除されます。
ログインURL変更
「ログインURL変更」では、WordPress管理画面のログイン画面のURLを変更することができます。
有効化すると、「変更後のログインURL」へ指定したURLが、ログイン画面のURLになります。
ログインエラーメッセージ統一
「ログインエラーメッセージ統一」というのは、ログイン時に表示されるエラーメッセージを統一できる機能です。
例えば、ユーザー名は合っていて、パスワードが間違っている場合に「パスワードが違います」と表示するとします。
これ、ユーザー名は合っているとことがバレてしまいます。
↓
悪意のある人間が、様々なパターンでユーザー名とパスワードを組み合わせログインを試みたとします。
偶然にもどちらかが合っていた場合には、一方がバレてしまいますよね。
その対策として、本来はメッセージを統一することが望ましいと考えられています。
例えば、統一しなければ、このようにパスワードが間違っている場合には、このようなメッセージが表示されます。
ユーザー名が間違っている場合には、このようなメッセージが表示されます。
これを、「CloudSecure WP Security」でメッセージ統一することで、このように同じメッセージが表示されることになります。
↓
管理画面アクセス制限
「管理画面アクセス制限」では、WordPress管理画面("/wp-admin/"移行)へのアクセス制限になります。
ログインしていない状態で管理画面へアクセスすると、404エラーになります。
ユーザー名漏えい防止
「ユーザー名漏えい防止」は、「?author=xx」へアクセス時のユーザー名の漏洩を防いでくれます。
「Edit Author Slug」というプラグインを同じ役割になります。
XML-RPC無効化
「XML-RPC無効化」では、XML-RPC、ピンバック機能を無効にしてくれます。
XML-RPC機能が不要な方は、こちらの項目を有効化しておきましょう。
REST API無効化
「REST API無効化」では、REST APIの機能を無効化できます。
REST APIを利用しない方は、「REST API無効化」の項目を有効にしておきましょう。
画像認証追加
こちらは、ログインフォーム、コメントフォーム、パスワードリセットフォーム、ユーザー登録フォームに画像認証を追加してくれる機能です。
例えば、WordPressのログイン画面であれば、このように追加されます。
コメントフォームであれば、このように追加されます。
ログイン通知
「ログイン通知」を有効化しておくと、誰かがWordPressへログインした際には、その情報がメールで通知されます。
アップデート通知
「アップデート通知」では、WordPress、プラグイン、テーマのアップデート通知を行うかどうかを設定します。
ログイン履歴
「ログイン履歴」の項目では、ログイン履歴を通知されます。
ログインに失敗した場合も履歴として残ります。
IPアドレスも残るので、不正なログインを発見したら、ブロックしてしまいましょう。
最後に!
今回は、WordPressのセキュリティプラグイン「CloudSecure WP Security」について、使い方をまとめてみました。
国産のプラグインで、日本語で設定できる日本人向けのプラグインです。
お使いのWordPressのセキュリティを高めたい方は、ぜひ一度インストールして使ってみてください。
