- セキュリティ対策を簡単にやりたい
- XO Securityの設定方法は?
- XO Securityでどんなことができるの?
- XO Securityのトラブルの解決方法は?
WordPressのセキュリティ対策したいのだけどもよく分からないの。。。
XO Securityを使えば初心者でも簡単にセキュリティ対策ができますよ。
WordPressブログのセキュリティ対策の必要性
そもそも、どうしてセキュリティ対策が必要なの?
初期設定のWordPressはセキュリティが完璧ではありません。そのため不正アクセスされる可能性があるからです。
\セキュリティについては知ってるよ /
\とにかく 設定方法が知りたい !/
WordPressのセキュリティに関する弱点
WordPressは初期の状態だと、次のようなセキュリティに関する弱点があります。
- 誰でも管理画面にアクセスできる。
- ログインページのURLは誰にでもわかる
- ログインIDが簡単に調べられる
誰でも管理画面にアクセスできる
WordPressはID(ユーザー名orメールアドレス)とパスワードでログインします。このID、パスワードが分かっていれば誰でも管理画面にアクセスできます。
また、パスワードを間違えても何度でもやり直せます。
そのため、パスワードなど考えられるパターンを手あたり次第に試すような攻撃でパスワードを解析されてしまうことがあります。
ログインページのURLは誰にでもわかる
WordPressのログインページはURLが決まっています。
初期状態のWordPressのログインページのURLは、ドメイン名の後に、「wp-login.php」とするルールがあり、知っている人であれば簡単にアクセスできてしまう弱点となります。
たとえば、このブログのログインページの初期URLは
https://arakiblog.com/wp-login.php
となります。
今はXO Securityで変えているので、上のURLでは今はアクセスできないですよ~。
ログインIDが簡単に調べられる
WordPressのログインIDのうち「ユーザ名」は下記のURLで、簡単に調べることができてしまいます。
https://ドメイン/wp-json/wp/v2/users
ユーザ名とパスワードとパスワードの両方がわからないのと、ユーザ名が分かってしまっていて、後はパスワードだけという状況を比較すると、どちらが不正アクセスされやすいかあきらかですよね?
セキュリティ対策をしていないとどうなる?
気づいていないだけで、あなたのWordPressブログには色々な手段で不正アクセスしようとしてきます。
もし、セキュリティ対策をしておらず、不正アクセスされてしまうと、次のような結果になります。
- あなたのWordPressブログが乗っ取られる
- ID、パスワードを流用していると他でも不正アクセスされる
- あなたのWordPressが第三者への攻撃の踏み台になる
といったことが起こります。
WordPressブログの乗っ取り
もし、あなたのWordPressブログに不正アクセスが成功して、ID、パスワードが変更されると、もうあなたはログインできません。
そうなると、あなたはブログに投稿したり、修正したりすることができなくなり、不正アクセスした人が自由に内容を変えることができるようになります。
ID、パスワードを流用していると他でも不正アクセスされる
もし、WordPressブログで利用していたID、パスワードを他でも利用していた場合、例えば、ショッピングサイトでも同じID、パスワードを利用していたとすると、ショッピングサイトでも不正アクセスされてしまう可能性があります。
こういったことを防ぐためにID、パスワードの使いまわしはしない方がいいです。
WordPressブログが第三者への攻撃の踏み台となる
例えば、あなたのブログが詐欺サイトに改ざんされてしまうと、あなたのブログの訪問者に詐欺行為をはたらいてしまうことになります。
このようなことは避けたいですよね。
XO Securityとは
XO Securityは初心者でも簡単に設定・利用できるWordPressのセキュリティ対策プラグインです。
また、国産プラグインで日本人にも使いやすいです。
\ 設定方法が知りたい !/
XO Securityができるセキュリティ対策
XO Securityは様々な不正アクセス対策ができます。
- ログイン回数などの制限
- ログインURLの変更
- 画面認証(CAPTCHA)の追加
- コメントのスパム対策
- ブログのID情報などを隠す
これらの機能でWordPressの弱点をカバーすることができます。
XO Securityを導入するメリット
XO Securityには色々なメリットがあります。
- 無料で使える
- 日本語対応(国産プラグイン)
- 設定がシンプルだが高機能
- .htaccessを使用しない
順番に見ていきましょう
無料で使える
XO Securityは高機能ですが、無料で利用できます。無料でありがたいです。
日本語対応(国産プラグイン)
海外の優れたプラグインでも、日本語に対応してなかったり、日本語対応していても、英語から無理やり訳した分かりにくい日本語だったりすると、ちょっと使うのをためらってしまいますよね。
その点、XO Securityは国産プラグインです。当然日本語に対応していて安心して使えます。
個人的には国産プラグイン自体を応援したいですね。
設定がシンプルだが高機能
たくさんの機能があるにも関わらず、設定はほとんどが、ON、OFF、チェックを入れるなどで完了できてしまいます。初心者にとってはとても優しいプラグインです。
また高機能なので複数のプラグイン機能を1つでカーバーしていて、プラグインの利用数を減らせます。
- Akismet Spam Protection(コメントスパムの対策)
- Limit Login Attempts(ログイン制限)
- Edit Author Slug (投稿者スラッグの秘匿)
プラグインが多いとWordPressブログの動作が遅くなることがあります。できるだけ減らしましょう
.htaccessを使用しない
同じようなセキュリティプラグインの「SiteGuard WP Plugin」では「.htaccess」を使用し内容が変更されます。このときトラブルになることもあります。
その場合、「.htaccess」を直接編集するなどの対応が必要になり、初心者の方にとっては面倒な作業になります。
その点、XO Securityでは「.htaccess」を利用しないので、そういったトラブルとは無縁です。
インストール方法
インストール方法は一般的なプラグインのインストールと同じです。
「プラグインを追加」画面
WordPressの管理画面のメニューの[プラグイン]の[新規追加]をクリックして、「プラグインを追加」画面を表示します。
プラグインのインストール
「プラグインを追加」画面のキーワードの右の欄に「XO Security」と入力し、XO Securityを検索して、検索結果のXO Securityの右上にある「今すぐインストール」をクリックします。
プラグインの有効化
インストールが終わると、「今すぐインストール」の部分が「有効化」というボタンに変わるので、「有効化」をクリックします。
これで、XO Securityのインストールと有効化が完了です。
設定方法
XO Securityはインストール直後は、ログインを記録すること以外何も設定されていません。
順番に設定していきましょう。
管理画面の「設定」を選び、「XO Security」をクリックして、「XO Security 設定」をクリックします。
XO Security設定画面で表示されているタブには、「ステータス」、「ログイン」、「コメント」、「XML-RPC」、「REST API」、「秘匿」、「環境」があります。タブごとに解説していきます。
ステータス表示
ステータスでは現在設定されている項目に緑のチェックマークが入ります。プラグインを入れた直後は「ログインログ」だけにチェックが入っています。
ログインに関する設定
タブメニューの[ログイン]をクリックすると次のような画面になります。
1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。
設定項目 | おすすめ設定 |
---|---|
試行回数制限 | 24時間の間に4回までリトライを許可 |
ブロック時の応答遅延 | 120秒 |
失敗時の応答遅延 | 10秒 |
ログインページの変更 | ONにしてログインファイル名を変更 |
ログイン ID の種類 | ユーザー名のみ |
ログイン言語制限 | 設定しない |
ログインエラーメッセージ | 簡略化 |
CAPTCHA | ひらがな |
パスワードリセットリンク | 有効 |
サイトへ移動リンク | 有効 |
ログインアラート | ONにする |
◎:超重要(設定することが必須)
〇:重要(設定した方が良い)
△:設定しなくてもよい
ー:設定しない
試行回数制限
不正アクセスのロボットに対するログインの試行回数に制限機能
- 試行回数の制限なし(デフォルト)
- 1時間の間に
- 12時間の間に
- 24時間の間に
- 48時間の間に
慣れるまで
「1時間の間に」「4回までリトライを許可する」
慣れた後
「24時間の間に」「4回までリトライを許可する」
「試行回数制限」ではログインの試行回数に制限を設けられます。指定時間の間に指定回数ログインが失敗するとロックがかかり、正しいID、パスワードを入力してもログインできなくなります。
例えば、「1時間の間に」「4回までリトライを許可する」とすれば、1時間の間に4回ログインに失敗するとロックがかかります。
このような設定をすることで、短時間のうちに大量の辞書攻撃を仕掛けるロボットには有効な対策となります。もし、間違ったとしても1時間待てばログインできるようになるので、我慢できるんじゃないでしょうか?
使っていて、あまり間違わないようだったら「24時間の間に」「4回までリトライを許可」に変更しても思います。
セキュリティを強化し過ぎると利便性が悪くなるため、気をつけましょう
ブロック時の応答遅延
ログインに制限がかかったときに、制限がかかったことを表示するまでの時間(秒)設定
0秒~120秒
120秒(最大値)
ログイン失敗回数が「試行回数制限」の設定に達してログインに制限がかかったときに、次のような画面が表示されます。
この画面が表示するまでの時間(秒)を調整できます。
長ければ長いほど、その間操作ができなくなるので、時間当たりの不正アクセス試行回数を減らすことができ、セキュリティを強化できます。
失敗時の応答遅延
ログインに失敗したときに、失敗したことを表示するまでの時間(秒)設定
0秒~10秒
10秒(最大値)
入力したID、パスワードが間違っていてログインに失敗したときに、ログインに失敗したことを表示するまでの時間(秒)を調整できます。
長ければ長いほど、その間操作ができなくなるので、時間当たりの不正アクセス試行回数を減らすことができ、セキュリティを強化できます。
ログインページの変更
ログインページのURLをログインに失敗したときに、失敗したことを表示するまでの時間(秒)設定
ONにしてログインページを変更
ログインページを表示するための「ファイル(wp-login.php)の名前」を変更できます。
ファイル名を変更することで、実質的にログインページのURLを変える仕組みです。
ONにしたあとログインページに任意の名前を付けてください。
変更後のURLは、以下のとおりです。
例:https://arakiblog.com/●●●.php
「●●●」が入力した文字列になります。
ログインIDの種類
ログインIDの種類を制限できます。
- ユーザ名またはメールアドレス(デフォルト)
- ユーザ名のみ
- メールアドレスのみ
ユーザー名のみ
WordPressではログインIDにユーザ名とメールアドレスの2種類が使えます。両方使えるようにするのか、どちらか一方しか使えないようにするかの設定ができます。
メールアドレスでログインできないようにするのがおすすめです。公開されたメールアドレスが収集され、後々不正アクセスに利用される可能性があります。
ログイン言語制限
ログインを許可するブラウザの言語設定を指定できます。
「wp-config.php」 という設定ファイルを直接編集
日本語のみ
通常ブログにはブラウザでアクセスしますが、ブラウザには日本語、英語、中国語などの言語設定がされています。設定により、特定の言語のみログインを許可することができます。
初心者にとって難しい設定となります。ほかの設定でも十分セキュリティ対策ができるので、ここは設定しなくてもよいと思います。
ログインエラーメッセージ
ログインに失敗したときのエラーメッセージを変更することができます。
- デフォルト(デフォルト)
- 簡略化
簡略化
WordPressではログインに失敗したときのエラーメッセージからそのとき失敗したログインIDが存在するかどうか知ることができます。
存在しないIDでログインしようとした場合
存在しないIDでログインを試みると次のようなエラーが表示されます。入力したユーザ名が間違っていることが簡単にわかってしまいます。
存在するIDでパスワードが間違っていた場合
存在するIDでパスワードが誤っていると、次のようなエラー画面が表示されます。このように表示されるとユーザ名は合っていて、後はパスワードさえ分かればログインできることが簡単に分かってしまいます。
この情報をヒントにID(ユーザ名やメールアドレス)が存在するかどうか調べ、不正アクセスの攻撃に使われる可能性があります。
XO Securityでは、ログインエラーメッセージの設定で「簡略化」を選ぶことでエラーメッセージを次のように変更しIDの特定を防ぐことができます。
簡略化を選んだ状態で、ログインに失敗するとIDに間違いがあったのか、パスワードに間違いがあったのか分からなくなります。そのため不正アクセスしにくくなります。
CAPTCHA
ログインに画面認証を追加することができます。
- 無効(デフォルト)
- 英数字
- ひらがな
ひらがな
CAPTCHAとは画像認証の事です。ちょっとしたセキュリティ高めのホームページでよく利用されている画像認証が簡単に利用できるようになります。
画像でちょっと読みにくい感じで文字が表示され、それを読み取り入力欄に入力することで、アクセスしているのがロボットでないと確認する機能です。
ひらがなで設定すると次にようなログイン画面になります。
XO Securityでは「ひらがな」が選択できるようになっていますので、画像認証を利用する場合は、「英数字」でなく、必ず「ひらがな」を選択しましょう。
海外産のロボットが多いので「英数字」でなく「ひらがな」を選ぶだけで不正アクセスのリスクを減らせます。
ひらがなを選べるなんて、さすが国産プラグインですね。
パスワードリセットリンク
ログイン画面の「パスワードをお忘れですか?」リンクの表示・非表示設定
- 有効(デフォルト)
- 無効
有効
WordPressにはパスワードを忘れた場合、そのパスワードをリセットすることができる機能があります。
XO Securityでは、パスワードリセットのリンクを非表示にすることで、パスワードリセット機能を無効にすることができます。
参考までにパスワードのリセット方法の説明をしておきます。
WordPressのパスワードリセット手順
ログイン画面の「パスワードをお忘れですか?」のリンクをクリックします。
ID入力画面が表示されるので、ユーザ名またはメールアドレスを入力し「新しいパスワードを取得」をクリックします。
しばらくするとパスワードリセットするためのリンクが記載されたメールが届くのでそこで、そのリンクからパスワードをリセットします。
無効にした方がセキュリティが高くなりますが、パスワードを忘れてしまった場合、リセットができなくなりログインできなくなります。
絶対にパスワードを忘れないという自信のある方は無効でもOKです。
サイトへ移動リンク
ログインページに設置されている、自分のWordPressブログのトップ画面に飛ぶリンクの表示・非表示設定
- 有効(デフォルト)
- 無効
有効、無効のどちらでもOK
下の赤枠のように、自分のWordPressブログのトップ画面に飛ぶためのリンクを表示したり、費用時に設定できます。
有効にしても、無効にしても、セキュリティ的には変わりがないのでどちらでもOKです。
ログインアラート
WordPressにログインしたときに登録しているメールアドレスにログインしたことがメールで通知される機能です。
- OFF(デフォルト)
- ON
ON
初期状態のWordPressではログインしても通知が来るわけではありません。
この機能を有効にすることで、WordPressにログインしたときに登録しているメールアドレスにログインしたことがメールで通知されるようになります。
もし、ログインしていないのに、通知メールが届いた場合は、不正アクセスされてしまっている可能性があります。
ログインするたびにメールが届くのがうっとうしいという方は「OFF」でもいいです。
ちなみにWordPressのデフォルトのセッション保持期間は『2日』です。 ログインフォームにある「ログイン状態を保持する」というチェックボックスをチェックすると『14日間』になります。
コメントに関する設定
コメントのタブをクリックするとコメントに関する設定項目がひらきます。
ブログ記事に対するコメント投稿を有効にしていると、ロボットによるスパムコメントの投稿に悩まされます。
ここではスパムコメント投稿に関するセキュリティ設定ができます。
少しでもプラグインを減らしWordPressに負荷をかけないようにしたいですね。
1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。
設定項目 | おすすめ設定 |
---|---|
CAPTCHA | ひらがな |
コメントフォームを日本語のみに制限 | スパム保護フィルターON |
スパムとして保存されているコメントのメールアドレス | スパム保護フィルターON |
スパムコメント | ブロック |
ボット保護チェックボックス | OFF |
◎:超重要(設定することが必須)
〇:重要(設定した方が良い)
△:設定しなくてもよい
ー:設定しない
CAPTCHA
コメント投稿に画像認証を設置
- 無効(デフォルト)
- 英数字
- ひらがな
ひらがな
WordPressではコメントを受け付ける設定をしていると、あなたのブログにアクセスしてきた人が記事に対してコメントを入力できるようになります。
コメントを投稿するときに、画像認証を表示させ、ロボットからの投稿を防ぐことができます。
XO Securityでは「ひらがな」が選択できるようになっていますので、画像認証を利用する場合は、「英数字」でなく、必ず「ひらがな」を選択しましょう。
スパム保護フィルター
コメントの内容から自動でスパムコメントであるかどうか判定する機能です。
- 「日本語文字を含まない」をON
- 「スパムとして保存されているコメントのメールアドレス」をON
次に説明する条件で、コメントの内容から自動でスパムコメントであるかどうか判定してくれます。ロボットによるスパムコメント投稿を防ぎます。
日本語文字を含まない
日本語の文字を含まないコメントをスパムコメントであると判定します。
海外からのロボットによる英語や中国語などのスパムコメントは日本語が含まれないことがほとんどなのでスパムコメントであると判別できます。
海外ユーザなどの日本語を含まないコメント投稿を想定していないのであればONにしても問題ないですね。
スパムとして保存されているコメントのメールアドレス
WordPress管理メニューの「コメント」では、投稿されたコメントが一覧で表示されています。
ここで、スパムとして保存しているコメントのメールアドレスに合致するコメントはスパムコメントであるとはんていします。
スパムコメント
スパム保護フィルターでスパムコメントであると判定したコメントをどのように扱うか設定する機能です。
- ブロックする(デフォルト)
- スパムとして保存する
- ゴミ箱に入れる
ブロック
スパム保護フィルターでスパムと判定したコメントの取り扱いどうするかを設定します。
あえて保存する必要もありませんし、データとして保持しておくのもリスクなので、「ブロックする」を選択することをおすすめします。
ボット保護チェックボックス
コメント投稿欄に「私はロボットではありません」というチェックボックスを追加
OFF
コメントフォームに、「私はロボットではありません。」というメッセージを添えたチェックボックスを追加できます。
チェックを入れないと投稿できず、WordPress標準の投稿手順を変えることができます。標準の手順を変えることでロボットからの投稿をある程度防ぐことができます。
画像認証を有効で、この設定もONにすると、本当のコメント入力者にとって利便性を下げることになりますので、OFFがおすすめです。
コメント入力者の利便性を下げてもセキュリティを上げたいという場合はONにしましょう。
セキュリティを高めるか、利便性をとるか難しいですね。。。
XML-RPCに関する設定
タブメニューの[XML-RPC]をクリックすると次のような画面になります。
XML-RPCとは、WordPressにログインせずにWordPressを遠隔操作するための仕組みです。
WordPressと連携するシステムやWordPressに記事を投稿などWordPressを管理できるスマホアプリなどで使われています。
この仕組みを悪用して、WordPressブログに対して大量のリクエストを送信することにより不具合を起こさせる攻撃(DOS攻撃)があります。
ここではXML-RPCに対するセキュリティを設定していきます。
1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。
設定項目 | おすすめの設定 |
---|---|
XML-RPCの無効化 | ON |
XML-RPCピンバックの無効化 | ON |
◎:超重要(設定することが必須)
〇:重要(設定した方が良い)
△:設定しなくてもよい
ー:設定しない
XML-RPCの無効化
XML-RPCの無効化します
ON
XML-RPCが悪用されると、DOS攻撃(ホームページに対して大量のリクエストを送信することにより、機能を停止させる)などを受けるリスクが高まります。
XML-RPCを無効化することで、そういったリスクをなくすことができます。
WordPressのスマホアプリの利用や、外部システムとの連携などしていなければ、ONにして無効化しておきましょう。
XML-RPCピンバックの無効化
XML-RPCピンバックを無効化します
ON
ピンバックとは他のサイトを紹介したとき(されたとき)に、通知を送信(受信)するための機能です。
この機能が悪用されると、同じようにDOS攻撃を受けることがありますのでONにして無効化しておきましょう。
REST APIに関する設定
タブメニューの[REST API]をクリックすると次のような画面になります。
REST APIとはWebシステムを外部から利用するための仕組みで、この仕組みを悪用される可能性があります。
ここではREST APIに対するセキュリティを設定していきます。
1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。
設定項目 | おすすめの設定 |
---|---|
REST APIの無効化 | ONにした後、 /wp/v2/users /wp/v2/users/(?P[\d]+) にチェックを入れる |
REST API URLの変更 | OFF |
◎:超重要(設定することが必須)
〇:重要(設定した方が良い)
△:設定しなくてもよい
ー:設定しない
REST APIの無効化
特定のREST APIを無効化します
ONにしたあと、次の2項目だけチェックを入れる
- /wp/v2/users
- /wp/v2/users/(?P[\d]+)
REST API自体を無効化すると、動かなくなるプラグインもありますので、項目を絞って無効化することができます。
動かなくなるプラグインが出てくる可能性があるので、WordPressのID(ユーザ名)に関わるREST APIのみを無効化するのがおすすめです。
この設定を有効にせず、自分のWordPressブログで「https://ドメイン/wp-json/wp/v2/users」にアクセスしてみてください。ほら、ユーザ名が分かっちゃうでしょう?
REST API URLの変更
OFF
こちらはOFFのままで大丈夫です。
秘匿したい情報に関する設定
タブメニューの[秘匿]をクリックすると次のような画面になります。
初期状態のWordPressではバージョン情報やIDなど、不正アクセスの足掛かりになる情報が分かってしまう状態です。
ここではこういった情報を秘匿(知られないようにする)設定ができます。
XO Securityでこの設定を利用すれば、プラグイン「Edit Author Slug」が不要になります。
少しでもプラグインを減らしWordPressに負荷をかけないようにしたいですね。
1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。
設定項目 | おすすめの設定 |
---|---|
投稿者スラッグの編集 | ON |
投稿者アーカイブの無効化 | ON |
コメント投稿者クラスの削除 | ON |
oEmbed ユーザー名の削除 | ON |
RSS/Atom フィードの無効化 | OFF |
バージョン情報の削除 | ON |
◎:超重要(設定することが必須)
〇:重要(設定した方が良い)
△:設定しなくてもよい
ー:設定しない
投稿者スラッグの編集
投稿者スラッグを別の名前に書き替えます
ON
投稿者スラッグとはスラッグとは、投稿者を識別するURLの一部分のことで、この部分にWordpressのログインID(ユーザ名)が利用されています。
ユーザ名がわかると不正アクセスに利用されるリスクがあるので、違う名前に変更するための設定です。
投稿者スラッグが空欄だと、元のログインID(ユーザー名)が表示されたままになるので、注意しましょう
投稿者アーカイブの無効化
投稿者アーカイブを無効化します
ON
投稿者アーカイブとは投稿者ごとの記事一覧ページのことです。WordPressでは複数のIDを用意し複数人で記事を投稿していくことができます。
このとき投稿者別の記事一覧をみたいと思った時にアクセスされるページで、次のような表記ルールになっています。
https://ドメイン/author/ユーザ名/
このユーザ名がWordPressのログインIDと同じものとなります。
またユーザ名が分からなくても
https://ドメイン/?author=1
でアクセスすると、自動で
https://ドメイン/author/ユーザ名/
と変換されてしまうので、ユーザ名を知らなくても、ユーザ名を特定できるので、この機能で投稿者アーカイブ自体を無効化するのがおすすめです。
「投稿者アーカイブの無効化」をONにするのであれば、投稿者スラッグを変更しなくても問題ありません。
コメント投稿者クラスの削除
ページのソースコードからコメント投稿者クラスを削除します。
ON
投稿されたコメントからWordPressのID(ユーザー名)が分かるため、そのユーザー名を削除する機能です。
表示されるページのソースコードを確認しないと分からないので、投稿者アーカイブよりは分かりにくいのですが、不正アクセスのリスクにつながりますので、ONにしましょう。
oEmbed ユーザー名の削除
oEmbed ユーザー名を削除します
ON
oEmbedとは、URLを入力するだけで、記事のタイトル、アイキャッチ画像、抜粋などをプレビュー表示するための機能です。
WordPressでは「oEmbed埋め込み機能」があり、そのページ概要がカード式に表示できます。
ページ概要にWordPressのID(ユーザ名)が含まれてしまうため、そのユーザ名を削除する機能です。
RSS/Atomフィードの無効化
RSS/Atomフィードを無効化します
OFF
RSS/Atomフィードとは、読者がブログが更新されたときに、更新の通知と更新内容を受け取れる仕組みのことです。
更新内容まで受け取ってしまえるので、悪用すれば、更新の度に記事の内容をそのままコピーするサイトを、簡単に構築できてしまいます。
登録してでもブログを読みたいという、ありがたい読者にも通知ができなくなりますよね?。。。
そこで、RSS/Atomフィードを無効化せず、別の対策でリスクを下げましょう
RSS/Atomフィードは無効化せず、WordPress管理画面の「設定」 →「表示設定」の「フィードの各投稿に含める内容」を「全文を表示」から「抜粋」で対策しましょう
この対策をすることで、更新内容を全文ではなく抜粋でお知らせすることで簡単に全文を丸々悪用されることをやりにくくできます。
なるほど!!抜粋だけなら、全部コピーは無理ですね~。
バージョン情報の削除
WordPressのバージョン情報を表示させないようにします
ON
WordPressのバージョン情報を知られないようにする設定です。
WordPressは不具合、セキュリティの脆弱性などを修正し、より安全に使えるように頻繁にアップデートされています。
じゃぁ、WordPressを常に最新にしておけばいいんじゃないのですか?
テーマはプラグインが最新のWordPressに対応するまで時間がかかることがあるんです。
常に最新にしておくのが一番おすすめですが、テーマやプラグインが新しいWordPressのバージョンに対応できるまで、わざと古いバージョンを使い続けることもあります。
そういった時に、WordPressの現在のバージョンを知られてしまうと不正アクセスされる可能性があります。そのためバージョン情報を削除しておくのがおすすめです。
環境設定
タブメニューの[環境]をクリックすると次のような画面になります。
この環境設定は初期設定のままで特に変更する必要はありません。
まとめ
WordPressブログを運営していく上でセキュリティ対策は優先順位が高い対策の1つです。
しっかり設定を行い、安全なWordPressブログ生活を送りましょう。
コメント