WordPress設定

Security Optimizer セキュリティ対策プラグイン 設定方法と使い方読み終わるまで 1

Security Optimizer セキュリティ対策プラグイン 設定方法と使い方 アイキャッチ

ワードプレス(WordPress)のセキュリティ対策プラグイン Security Optimizerの設定方法と使い方を解説します。

この記事を見ることで得られるメリット
  • Security Optimizerの使い方と詳細な設定方法がわかります

Security Optimizerで実現できること

Security OptimizerはWordPressの主要なセキュリティ対策を全て網羅しているプラグインです。

プラグインの設定画面はすべて英語ですが、設定項目がシンプルなので使い易いです。

セキュリティ対策プラグインとしては珍しく、有料版が無く、無料で全ての機能が利用できます。

SiteGroundというホスティングサービス会社のセキュリティ専門家によって開発されており、信頼性は高いです。

Security Optimizerの主な機能

Security Optimizerの主な機能は次の通りです。

  • 2段階認証(2要素認証):WordPressログイン画面にワンタイムパスワード入力機能を実装
  • ログインURL変更:URL末尾を任意の文字列に変更
  • ログイン試行回数制限:ログイン失敗が指定回数を超えると、そのIPアドレスからのログインを制限
  • XMLRPC 無効:スマホから記事の編集などができる機能を停止し、DDoS攻撃を防止

これらの機能の詳細と設定方法は後述しています。

Security Optimizerのインストール方法

Security OptimizerをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面
  1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
  2. 「新規プラグインを追加」をクリックします
  3. 検索ボックスに”Security Optimizer”と入力すると下に検索結果が表示されます
  4. ”Security Optimizer”の「今すぐインストール」ボタンをクリックします
“Security Optimizer ”のインストール完了画面“Security Optimizer”のインストール完了画面

↑Security Optimizerのインストールが完了すると有効化ボタンが表示されるのでクリックします。

“Security Optimizer”有効化後に表示されるメッセージ“Security Optimizer”有効化後に表示されるメッセージ

↑プラグインを有効化すると上記メッセージが表示されます。

"Security Optimizer"を有効化すると表示されるプラグイン画面“Security Optimizer”を有効化すると表示されるプラグイン画面

↑これでSecurity Optimizerのインストールと有効化は完了です。

Security Optimizerの設定

プラグインを有効化するとダッシュボード(管理画面)の中に「Security Optimizer」が表示されます↓

ダッシュボード(管理画面)の中にある「Security Optimizer」ダッシュボード(管理画面)の中にある「Security Optimizer」

Security Optimizerプラグインの設定画面はダッシュボード(管理画面)の設定の中の「Security Optimizer」をクリックします。

データ収集 確認画面

Security Optimizerのデータ収集確認画面Security Optimizerのデータ収集確認画面

↑設定画面を最初に開いた時にデータ収集確認画面が表示されます。チェックマークを入れなくても確認するボタンを押すことができます。

Security Optimizerの設定項目

Security Optimizerには下記5項目の設定項目があります。

  • Security Optimizer (ダッシュボード)
  • Site Security (サイトセキュリティ)
  • Login Security (ログインセキュリティ)
  • Activity Log (アクティビティログ)
  • Post-hack Actions (ハッキング後のアクション)

以降はすべて日本語に翻訳した画像です。
設定は全てデフォルト状態です。

Security Optimizer (ダッシュボード)

Security Optimizerのダッシュボード画面Security Optimizerのダッシュボード画面

↑このダッシュボード画面には各設定項目への内部リンクと画面下部にはアクセスログ(最近のアクティビティ)が表示されています。

Site Security (サイトセキュリティ)

Security OptimizerのSite Security (サイトセキュリティ)画面Security OptimizerのSite Security (サイトセキュリティ)画面

 

Site Security (サイトセキュリティ)の設定項目
項目名説明初期値
システムフォルダをロックして保護するWordPressのシステムフォルダへのアクセス禁止有効
WordPressバージョンを非表示HTMLでWordPressのバージョン情報を非表示有効
テーマとプラグインエディターを無効にするWordPress管理者画面から重要コードの編集不可有効
XML-RPCを無効にする脆弱性のある通信を防止有効
RSSフィードとATOMフィードを無効にする情報の伝搬を無効にする無効
高度なXSS保護脆弱性を利用したクロスサイトスクリプティング攻撃から保護有効
デフォルトのReadme.htmlを削除する攻撃者に有用な情報を削除無効

“デフォルトのReadme.htmlを削除”と”RSSフィードとATOMフィードを無効にする”はデフォルトで無効になっていますが、両方とも有効に変更することをおすすめします。

Login Security (ログインセキュリティ)

Security OptimizerのLogin Security (ログインセキュリティ)画面Security OptimizerのLogin Security (ログインセキュリティ)画面
Login Security (ログインセキュリティ)の設定項目
項目名説明初期値
カスタムログインURLWordPressログイン画面のURLを任意の文字列に変更無効
ログインアクセス特定のIPアドレスまたは範囲にのみログインを許可する無効
管理者と編集者ユーザー向けの2要素認証WordPressログイン画面に2要素認証を追加する無効
一般的なユーザー名を無効にするデフォルトユーザ名を無効にする有効
ログイン試行回数を制限するログイン試行制限回数を超えると該当IPが1時間~7日間ブロックされる5回

“2要素認証”は有効、”ログイン試行回数”は3回に変更することをおすすめします。

Activity Log (アクティビティログ)

Security OptimizerのActivity Log (アクティビティログ)訪問者画面Security OptimizerのActivity Log (アクティビティログ)訪問者画面

↑不明な訪問者のアクティビティでは、外部からWebサイト(ブログ)にアクセスのあったURL、IPアドレス、人間なのかBOTなのかを時系列で確認できます。

Security OptimizerのActivity Log (アクティビティログ)登録ユーザ画面Security OptimizerのActivity Log (アクティビティログ)登録ユーザ画面

↑登録ユーザのアクティビティでは、管理者ユーザーのアクセス状況を確認できます。

Post-hack Actions (ハッキング後のアクション)

Security OptimizerのPost-hack Actions (ハッキング後のアクション)画面Security OptimizerのPost-hack Actions (ハッキング後のアクション)画面

↑不正アクセスに遭ったり、マルウェア等に感染したプラグインをインストールしてしまった場合に便利なツールが利用できます。

2要素認証(2段階認証)

2要素認証(2段階認証)の設定方法を解説します。

Security Optimizerの2要素認証用のQRコードSecurity Optimizerの2要素認証用のQRコード

↑Login Security (ログインセキュリティ)画面の”管理者と編集者ユーザー向けの2要素認証”を有効にするとQRコードが表示されます。

このQRコードをGoogle Authenticator等の認証ソフト(アプリ)で読み込ませる、またはQRコードの下に表示されているシークレットキーを登録すると、認証ソフト側でワンタイムパスワードが発行されます。

そのワンタイムパスワードを”Authentication Code”欄に入力し【Authenticate】ボタンを押します。

Google Authenticatorの使い方は下記の記事を参考にしてください↓

Google Authenticatorの使い方 アイキャッチ
Google Authenticatorの使い方2段階認証(2要素認証)用のワンタイムパスワードを生成するソフトウェア Google Authenticatorの使い方と設定方法を解説...

WordPressログイン画面のワンタイムパスワード入力欄

Security Optimizerの2要素認証を有効化してワンタイムパスワード入力欄を表示させたWordPressログイン画面Security Optimizerの2要素認証を有効化してワンタイムパスワード入力欄を表示させたWordPressログイン画面

↑通常のユーザ名とパスワードを入力するWordPressログイン画面で認証後に、このワンタイムパスワード入力画面が表示されます。

入力欄下の”Do not challenge me for the next 30 days.”にチェックマークを入れると、30日間はワンタイムパスワード入力画面は表示されなくなります。

実際にSecurity Optimizerを使った感想とメリットデメリット

実際にSecurity Optimizerを使ってみた感じたメリットとデメリットです。

Security Optimizerのメリット

  • 設定項目のON/OFFがスライドボタンなのでスッキリしていて、視認性が良い
  • アクティビティログにアクセスURLが表示されるので便利
  • 設定画面内に説明文が表示されるので、セキュリティ知識が乏しかったり、専門用語の意味が判らなくても設定可能
  • シンプルな設定画面なのに、必要十分なセキュリティ機能が備わっている

有料版に誘導されたり、無料版だと機能制限されるセキュリティ対策プラグインが多いなか、完全に無料なので非常に良心的なプラグインです。

Security Optimizerのデメリット

デメリットはありませんが、強いて言えば、すべての画面が英語表記で日本語表記が無い点です。

まとめ

Security Optimizerは必要最低限かつ必須のセキュリティ機能が1つのプラグインに詰め込まれているのが特長です。

設定項目がシンプルで判りやすいので導入する敷居が低いです。

個人ブログには不要な、過剰な機能が実装されていないので動作が軽いです。

設定画面はすべて英語ですが、Webブラウザの翻訳機能を使えば問題ありません。

完全に無料で全機能を利用できるので、他のセキュリティ対策プラグインにはよくある、メールアドレス認証や有料版に誘導されたり、機能制限などの面倒なことが一切ないのが一番のメリットです。

セキュリティ対策プラグインは数多くありますが、迷ったらSecurity Optimizerを入れておけば安心です。

おそらく、導入難易度が最も低いセキュリティ対策プラグインです。

とにかくシンプルで判りやすいので、おすすめです。