株式会社シスアナコム

情報システムに関することなら、どんなことでも適切に助言いたします!

この投稿は1年以上前に公開されました。
現在では状況や内容が変わっている可能性があります。
ご注意下さい。m(_ _)m

ワードプレスを安全に運営するためのプラグインiThemesSecurity

      2015/04/19

今回はワードプレスで作ったウェブサイトを安全に運営するためのプラグイン、「iThemes Security」を紹介します。

少し前まで、「Better WP Security」という名称でしたが、変更になりました。

ワードプレスで作ったウェブサイトは狙われている!

ワードプレスはとても便利なソフトウェアなので、多くの人達がウェブサイトを作るために使っています。

しかし、多くの人達が使っているが故に、悪のハッカーから狙われやすいのも事実です。

例えば、ワードプレスの管理用IDとパスワードが流出してしまったら、そのウェブサイトは乗っ取られてしまいます。

一度乗っ取られてしまえば、サイトを完全に作り替えられてしまうかもしれませんし、
ウィルスを仕込まれてしまうかもしれません。

たとえバックアップを取っていても、元に戻す事はかなり大変な作業となります。

そのため、ワードプレスの安全性をより向上させるためのプラグインが必要なのです。

iThemes Securityの概要

iThemes00
このプラグインは無料で利用できます。

ワードプレスサーバの安全性について優先順位を付けて解決策を提示してくれるので、提示された項目を一つずつ解決していくと安全なワードプレスサーバが出来上がります。

ただし、画面は全て英語。

また、難しい設定項目が多いのも事実です。

設定を間違えると管理者自身がログインできなくなってしまう可能性もありますので、よく考えて慎重に設定を行いましょう。

iThemes Securityのインストール

いつも通り、ワードプレスの管理メニューから「プラグイン」をクリックして「新規追加」ボタンを押します。
NewPlugin
プラグインを追加する画面が表示されるので、「iThemes Security」と入力して「ENTER」キーを押します。

画面に「iThemes Security」プラグインが表示されます。
iThemes01
「いますぐインストール」ボタンを押します。

確認メッセージが表示されるので「OK」

プラグインがインストールされます。
iThemes02
「プラグインを有効化」をクリック。

プラグイン一覧画面が表示され、画面上部に青い帯のような部分が表示され、英語で何か表示されています。
iThemes03
「Secure Your Site Now」ボタンを押します。
その後「Get Free API Key」というボタンを押します。

以下の画面が表示された場合は、とりあえず「×」または「dismiss」を押して消します。
iThemes04

iThemes Securityの設定画面の「Brute Force Protection API Key」という項目に自動的に移動します。
iThemes05
利用可能なメールアドレスを入力して「Save All Changes」ボタンを押して設定を保存します。

画面上部にメッセージが表示されます。
iThemes10
ワードプレスの2つのシステムファイル「.htaccess」と「wp-config.php」にiThemes Securityプラグインに書き込む権限を与えるという表示です。
「Click here」をクリック。

「Global Settings」の「Write to Files」に自動的に移動します。
iThemes11
チェックを付けて「Save All Changes」ボタンを押して設定を保存します。

するとメールが2通届きます。
1通は「Welcome to the iThemes Brute Force Protection Network」という題名。
iThemes15
ようこそメールです。

もう1通は「New Site Activated with iThemes Brute Force Protection Network」という題名。
iThemes16
Brute Force Protectionに使用するAPIキーと、登録されたドメイン名が記載されています。
こちらは再設定時に使う可能性があるので、保存しておきましょう。

iThemes Security設定開始!

実際に「iThemes Security」の設定を行います。

iThemes Security設定の前に

その前に、セキュリティソフト全般に言えることですが、設定を失敗すると管理者自身がセキュリティソフトから締め出しをくらう場合があります。

そうならないために、「iThemes Security」には一時的なホワイトリスト機能があります。

ワードプレスの管理メニューから「Security」を選択。
iThemes17
画面の一番上に「Temporarily Whitelist my IP」というボタンがあるので押します。

すると、ホワイトリストにIPアドレスが登録されます。
iThemes18
これで24時間は設定に失敗しても、「iThemes Security」から締め出しをくらうことはありませんので、安心して設定ができるようになりました。

今後、「iThemes Security」に対して設定を行う前には、必ず毎回実行して下さい。

iThemes SecurityのSecurity Status

画面上部の「Dashbord」タブをクリックします。

「Security Status」という欄があります。
ここに「このワードプレスサイトには、こんな問題がありますよ!」という一覧です。
iThemes20
特に「High Priority」の欄にピンク色で表示されている項目は緊急性が高いので、早めに対処しましょう。

まず、「Your site is not performing any scheduled database backups.」という項目が表示されています。
「データベースが定期的にバックアップされてませんよ!」という意味。
「BackWPup」など別のプラグインでバックアップを行っている場合は、無視しても大丈夫。

次に「Malware scanning is not enabled.」という項目。
「ウィルスチェック機能が有効になってないよ!」という意味。
ちょっと難しいですが、この機能を有効にします。

iThemes SecurityのMalware対策

「Malware scanning is not enabled.」の横の「Fix it」ボタンを押します。

画面が自動的に「Malware Scanning」という項目に移動します。
iThemes21
すでに「APIキー」を持っている場合は、「Enable malware scanning」にチェックを付けて、「API Key」欄にAPIキーをコピーして貼付、「Save All Changes」ボタンを押します。

この文章を最初に読んでいる方は、たぶんAPIキーを持ってないはず。
その場合は、「VirusTotal API key tutorial」というリンクをクリックします。
iThemes22
APIキーの取得方法が英語で表示されますので、「VirusTotal.com」へのリンクをクリックします。

VirusTotal.comのサイトが表示されます。
ここは日本語に対応しているようです。
画面右上の「コミュニティに参加」をクリック。
iThemes23
ユーザ名、メールアドレス、パスワードを入力して「サインアップ」

すると、こんなメッセージが表示されます。
iThemes24
「閉じる」

すぐに登録したメールアドレスに、こんなメールが到着します。
iThemes25
メール内のリンクをクリック。

VirusTotal.comのサイトに移動して、こんな画面が表示されます。
iThemes26
「サインイン」

ログイン画面が表示されます。
iThemes27
ユーザ名またはメールアドレス(どちらでもOK)とパスワードを入力。

ログインできたら画面右上のユーザ名をクリック。
iThemes28
リストの「My API Key」をクリック。

やっと「Malware Scanning」に必要となるAPIキーが表示されました!
iThemes29
表示されているAPIキーを全て選択してコピー(CTRL+C)します。

ワードプレスのiThemes Securityの設定画面に戻って、「Malware Scanning」欄の「API Key」にコピーしておいたAPIキーを貼付(CTRL+V)ます。
iThemes30
「Save All Changes」ボタンを押します。

これで完了。

画面上部の「Dashboard」をクリックして「Security Status」欄を表示させます。
iThemes31
「High」をクリックして「Malware scanning is not enabled.」という項目が消えていることを確認。

同様に「Completed」をクリック。
iThemes32
「Malware scanning is enabled and running…」という項目が表示されていることも確認します。

High Priorityへの対策

緊急度が「High Priority」になっている項目はあと2つ。

この設定を行います。

設定の前に「Temporarily Whitelist my IP」ボタンを押してホワイトリストにIPアドレスを登録することを忘れないようにしましょう。

強いパスワードを必須にする

ダッシュボードタブの「Security Status」に表示されている「You are not enforcing strong passwords for any users」の設定を行います。

強いパスワードを必須にします。
iThemes33
文字列横の「Fix it」ボタンを押します。

自動的に「Strong Passwords」の設定画面に移動します。
iThemes34
「Enable strong password enforcement.」にチェックを付けます。

「Select Role for Strong Passwords」の欄は、どの権限より上のユーザに対して、
強いパスワードを強制するかを設定します。
(全員に強いパスワードを強制するためには「購読者」を選択)

「Save All Changes」を押して設定を保存します。

ただし、注意点があります。

この設定を行ったとしても、すでに作成済みユーザのパスワードが変更されるわけではありません。

この設定を行う前に作成したユーザのパスワードはそれぞれ手動で変更する必要があります。

この設定以降にパスワードを変更する際に、強いパスワードが強制になります。

パスワード変更時に強いパスワードにしないと、以下のようなメッセージが表示されます。
iThemes35

ログイン名と表示名を変える

次にダッシュボードタブの「Security Status」に表示されている「User nicknames may be the same sa their login name….」の設定を行います。

ログイン名と表示上の名前であるニックネームを同じにできないように強制します。
iThemes36
文字列横の「Fix it」ボタンを押します。

自動的に「Force Unique Nickname」の設定画面に移動します。
iThemes37
「Force users to choose a unique nickname」にチェックを付けて「Save All Changes」ボタンを押します。

この設定も注意が必要で、すでに作成済みユーザの表示名が変更されるわけではありません。

この設定を行う前に作成したユーザの表示名はそれぞれ手動で変更する必要があります。

この設定以降に表示名(ニックネーム)を変更する際に、ログイン名と変えることが強制になります。

ニックネーム変更時にログイン名と変えないと、以下のようなメッセージが表示されます。
iThemes38

High Priority対策完了!

これで「High Priority」への対策は完了です。
iThemes39
バックアップに関する項目だけが残っていますが、「BackWPup」等でバックアップをちゃんと実行していれば、この表示は無視しても問題ありません。

 - ひとこと, ひとこと(ワードプレス)

↓ブログランキングに参加しています!


ネット・PC(全般) ブログランキングへ
にほんブログ村 IT技術ブログ ITコンサルティングへ
にほんブログ村

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です