iThemes Securityとは?

ウェブサイトを構築する上で、セキュリティ対策をとることは非常に大切です。特に商品販売を行う場合には、個人情報のやり取りも含め、ウェブサイト上から行う事になるため、顧客の個人情報が漏えいしてしまうといった事が起きてしまったら、継続しての運営が難しくなってしまいますし、信頼できないと、企業評価も落ちてしまう事でしょう。

今回ご紹介するのは、ワードプレスでのセキュリティを強化することができるiThemes Securityというプラグインです。簡単設定で、様々なウィルスの脅威から守り、いつでも安心、安全なウェブサイト運営が可能になります。

iThemes Securityの機能

iThemes Securityでは、ウェブサイト全体のセキュリティチェックや、マルウェアスキャンを行う事ができます。怪しいコメントやスパムをブロックし、いつでもユーザーが安心してウェブサイトを利用することができるよう、SSL通信が可能になっています。

その他、アクセス制限を利用したり、ファイルの変更が行われる場合のモニタリングやダッシュボードへのアクセス無効化、ログイン時のパスワード設定を強化したり、404エラーの検出をするなど、書ききれない程の充実した機能を備えています。

ワードプレスのデータベースのバックアップデータを取得する事も可能となっているため、万が一の時にでも、安心です。異常が発生した時など、メールにて管理者側へ通知することができますから、対処が必要な場面で素早く対応することができ、いつでも安全にウェブサイトを運営することができます。

iThemes Securityの設定方法

ワードプレスメニュー→プラグイン→新規追加→iThemes Securityを検索→インストール→有効化の順に進んでください。有効化したら、ワードプレスメニュー内、セキュリティと記載されている項目をクリックする事で、各種設定を進めていくことになります。

セキュリティチェックの設定

上記のセキュリティをクリックすると、iThemes Securityの画面へと移ります。セキュリティチェックでは、現在のセキュリティの状況を確認することができます。セキュリティチェックと記載されている項目の中にある、詳細を表示の項目をクリックすると、iThemes Securityで推奨されている状態で設定することができます。

禁止ユーザー、データベースのバックアップ、ローカルのブルートフォース保護など、推奨項目が表示されていますから、その下にあるsecure siteの項目をクリックする事で、簡単に設定を進めることができます。
その他、詳細設定として各項目のセキュリティ設定も可能になります。

詳細項目の一番上に記載されている欄では、攻撃があった場合、自動通知を送信できる項目となっており、自動通知メールを希望する場合には、メールアドレスを入力します。メールアドレスの下に記載されている選択肢は、ニュースやメルマガを受け取るか否かの項目となりますので、希望する方を選択してください。メールアドレスを入力したら、再度サイトのセキュリティ保護を実行、のボタンをクリックしてください。

グローバル設定での詳細設定

ワードプレスメニュー内に記載されているグローバル設定では、ファイルへの書き込みを制限することができます。ファイルへの書き込みと記載された項目では、ファイルへの書き込みを許可する場合にチェックを入れてください。

その下の項目では、ホストのロックアウトメッセージ、ユーザーのロックアウトメッセージ、コミュニティのロックアウトメッセージなど表示されるメッセージを変更することができます。その他、違反者のブラックリストの有効化、ブラックリストのしきい値の設定、ブラックリスト解除までの期間の設定、ロックアウト期間の設定も行う事ができます。

ログの保存では、イベントログの保存方法を選択することが可能となっており、データベースのみを選択する事で、全てのイベントを保存、出力できます、ファイルのみは、既にログを処理するためのソフトが導入されている場合に、こちらを選択してください。

データログの保存日数の設定、データ追跡許可するかどうか、Proxy Detectionではプロキシー検出の自動手動の選択も可能となります。
管理バーのセキュリティメニューを非表示にする項目もあります。
エラーコードの表示はNOに設定しておいてください。

404の検出の詳細設定

404検出という項目内にある有効化をクリックすると、悪意があるユーザーをブロックすることができます。404検出での構成の設定では、404エラーを検出する時間やしきい値のエラー、ホワイトリストの設定、無視するファイルの種類を設定できます。

禁止ユーザーの詳細設定

禁止ユーザーの項目を有効化すると、構成の設定を行う事ができるようになります。デフォルトのブラックリストにチェックを入れる事で、Jim Walkerで開発されたブラックリストを活用することができます。禁止リストの有効化にすると、禁止ホストを入力する部分が表示されますから、禁止するIPアドレスを入力してください。

データベースのバックアップの設定

データベースのバックアップでは、構成の設定をクリックすると、データベースのバックアップを作成という項目が表示されますから、こちらをクリックします。完全バックアップにチェックを入れ、バックアップの保存方法を選択します。

バックアップ保存数では、過去のバックアップを何個残しておくかを設定します。設定した数を超えると自動で古い順に削除されます。バックアップデータを圧縮する場合には、バックアップデータを圧縮にチェックを入れてください。除外するテーブルでは、バックアップが必要のないデータがある場合に、項目の中から選択すると、除外できます。

スケジュールに合わせてバックアップを行う場合には、データベースのバックアップスケジュールへチェックを入れて有効化し、その下のバックアップ間隔に、自動バックアップを何日毎に行うのかを設定します。

SSL通信の設定

SSLを有効化する事で、構成の設定が可能になります。Redirect all HTTP Page Requests to HTTPSでは、リダイレクトを行う場合の対処法を選択します。

  • Disabledデフォルト処理
  • Enabled HTTPのリクエストを全てリダイレクトする
  • Advanced フロントエンド、バックエンドそれぞれ異なる設定にできます。

フロントエンドのSSLモードのオン、オフ設定もできます。コンテンツ毎での設定の場合、選択したページのみ、SSLモードにすることができます。ダッシュボードの強制SSLにチェックを入れると、アクセス全て、ダッシュボードのみSSL通信にて接続できます。

Password Requirementsの設定

強力なパスワードを利用するユーザーを指定できます。有効にチェックをいれ、Minimum Roleで役割を選択してください。

ファイルの変更を検出の詳細設定

ファイルに変更が加えられた時に、その変更を把握することができます。今すぐファイルをスキャン、という項目をクリックする事で、ファイルとフォルダのスキャンが開始されます。除外するファイルやフォルダは、右側の-のボタンで除外することができますし、無視するファイルタイプも、形式から選ぶことができます。

ワードプレスのセキュリティプラグインは必要不可欠!サイトのセキュリティを向上させよう!
ワードプレスを使っている方や、これから使おうと思っている方は、セキュリティ対策の面で、どのような方法があるのか、気になりますよね。ワードプレスは…