セキュリティ・SSL の記事一覧

17129
views

テーブルプレフィックスを変更できるWordPress プラグインのまとめ

wp-config.php 内のテーブルプレフィックスの設定が「デフォルトのwp_ のままだと危ないよ」とよく言われていますね。

WordPress をインストールする前であれば、wp-config.php ファイル内の $table_prefix をwp_ 以外の別の記述にしてしまえば良いのですが、インストール後であればデータベースのテーブル名も変更する必要があります。

「手動で変更する方法が分からない…」「データベースを直接操作したくない…」

という場合でもプラグインを利用すれば、既にインストールを終えたWordPress ブログのプレフィックスを簡単に変更することができますので、今回はテーブルプレフィックスの変更が可能なプラグイン2 つを紹介させていただきます。
続きを読む

9796
views

指定したIP やホストのサイト閲覧を禁止できるWordPressプラグイン「WP Ban」

「Crazy Bone」プラグインを使ってログイン履歴を取っているのですが、いろんな国から管理画面へアクセスが試みられていることから、特定のIP やホストからのサイト閲覧を遮断できるプラグイン「WP Ban」を導入しました。

IP、ホスト名、ユーザーエージェントなどを指定できますので、管理画面への不正アクセス対策以外にも、特定のIP やスパムコメント元からのアクセスを遮断するのにも使えると思います。
続きを読む

29916
views

WordPress のログイン画面(wp-login.php)から自由にユーザー登録できないようにする方法

WordPressは、wp-login.php のURL を直接叩いてユーザー登録画面に行けるようになっており、設定にも依りますが、外部の人間でも簡単にユーザー登録することが可能です。

会員制サイトのような外部メンバーの登録を許可したり、企業サイトでもメルマガを発行やコメントを設置している場合は対応が変わってくると思いますが、

今回は外部のユーザー登録を許可していないサイトを前提として、自由にユーザー登録できないように対策する方法をまとめました。
続きを読む

8406
views

「SI CAPTCHA Anti-Spam」を利用してWordPressのログイン認証にキャプチャを導入

前回紹介させていただいたWordPressのログイン画面にBasic 認証を掛ける方法の続きで、今回もWordPress のログイン周りにおけるセキュリティ対策の記事です。

今回は SI CAPTCHA Anti-Spam プラグインを利用してログイン認証に「キャプチャ」を導入する方法を紹介致します。

SI CAPTCHA Anti-Spam は、コメントフォームや登録フォームなどに「キャプチャ」を導入してスパムコメントやスパムメールを防止するためのプラグインで、ログイン認証画面にもキャプチャを置くことができます。

従来のユーザー名とパスワードによる認証に「キャプチャ」が追加されることでログイン時の手間がちょっと増えますが、個人的には是非有効化しておきたいプラグインではないかと思っています。
続きを読む

13462
views

WordPressのログイン画面にBasic 認証を掛ける方法

WordPress のログイン画面にBasic 認証を掛ける方法のご紹介です。

WordPressのサイトが攻撃されたというニュースを目にする機会が多くなってきましたが、プラグインやテーマ、WordPress本体を常に最新の状態に保つようなセキュリティ対策を取っていても、管理画面(ログイン画面)への総当たり攻撃への対策は難しい問題です。

認証を2回経るので運用面での手間は増えますが、WordPressの通常のログイン認証の前にBasic 認証を置くことで、ログイン画面を突破される危険性の軽減が期待できます。
続きを読む

16165
views

ブルートフォースアタックの記事を頻繁に目にするようになりましたので、今回は不正アクセス対策用のWordPressプラグインを少しばかりご紹介。

admin という名前のユーザーをやめる」「パスワードは推測されにくいモノとし、且つ定期的に変更する」などの他の対策と合わせて、「指定回数ログインに失敗するとロックをかける」という機能を持ったプラグインを入れておくのも効果的です。

わたしが過去に利用したプラグインは「Simple Login Lockdown」と「Login Attempt Limit」の2種有りますが、どちらも「ログイン試行回数を決めて、ログインに失敗した場合のロックアウト時間を設定する」ことが主な機能ですが、微妙に設定方法や機能が異なる部分もあります。

今回はこの2つのプラグインの簡単な導入方法を紹介させていただきます。
続きを読む

8732
views

WordPressでadmin 名の管理者権限を、別のユーザーに変更(移行)する方法

先日、全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている の記事が公開されましたが、ユーザー名を admin のまま利用しているWordPressのサイトがなぜ危険か??について、改めて思い知らされました。

「ログインの試行回数に制限を設ける」など、サイトのセキュリティ対策については色々な方法が考えられますが、とりあえず今回は応急処置的に「admin 名ではない別のユーザーに管理者権限を変更する方法」について紹介させていただきます。
続きを読む

19449
views

さくらサーバでWordPressの管理画面を共用SSL で動かす方法(プラグインを利用する方法)

WordPressのバージョンも3.4.2 になり、WordPress HTTPS のプラグインバージョンも3.2 に上がったので、管理画面を共用SSL で動かす方法 の記事をまとめ直しました。

さくらサーバでは一応動いていますので取りあえずは今回の方法で良さげですが、またやり方を覚え直さないと…。。。

ちなみに今回は、さくらサーバを契約したは良いものの「本当は独自SSLが良いんですが、予算の都合などで共用SSLでの運用になっちゃった…」なんて場合の、とりあえず考えられる対処法になります。
続きを読む

10872
views

WordPressのセキュリティを強化するためのプラグイン「Secure WordPress」の設定について

WordPressのセキュリティ対策の一環として Secure WordPress プラグインを利用してみることにしました。

Secure WordPress は導入も設定も簡単な上、「ログイン失敗時に出るエラーメッセージを無効化」できたり、「<head> 内に表示されるWordPressのバージョンを非表示」にできたり、プラグインやテーマファイルを格納しているフォルダへのセキュリティ対策ができるなど、個人ブログ、企業サイト問わず是非入れておきたいプラグインではないかと思います。
続きを読む

16467
views

Contact Form 7 を Akismet と連携させてスパムメール対策をおこなってみる

お問い合わせへのスパムに対抗してみる のブログ記事を拝見し、これは是非試してみなければ!!ということで実践してみました。

以前の お問い合わせメールフォームに画像認証を付ける拡張用プラグイン「Really Simple Captcha」 の記事でも紹介しましたが、Contact Form 7 プラグインを利用してお問い合わせメールフォームを動かしていると、いつの日からかスパムメールが大量に届くことがあります。

前回紹介させていただいた記事では、CAPTCHA を利用して画像認証によるスパムメール防止を行いましたが、今回はWordPressでは必須のプラグイン AkismetContact Form 7 を連携させることで、スパムメールを防止する方法になります。
続きを読む

12769
views

お問い合わせメールフォームに画像認証を付ける拡張用プラグイン「Really Simple Captcha」

当サイトでもお問い合わせメールフォームにWordPressのプラグイン Contact Form 7 を利用していますが、以前から迷惑メールを受信するようになり…最近になってその数が増えたこともあり…ということで、この度、対策を施すことにしました。

スパムメール対策として今回利用したのが、Contact Form 7の拡張機能でもある画像認証プラグイン Really Simple Captcha です。

プラグインをインストールして有効化し、簡単な設定をするだけで お問い合わせメールフォーム上でCAPTCHAが利用できる という優れものですので、今回はこの Really Simple Captcha の設定方法などを中心に紹介させていただきます。
続きを読む

25357
views

「Admin SSL」を利用して共用SSLでWordPressの管理画面を動かす

WordPressで企業サイトを運営するにあたって必要になってくるSSL ですが、レンタルサーバが提供している「共用SSL」を利用されるケースも多いかもしれません。

今回はそのようなWordPress でSSL を利用するために重宝するプラグイン Admin SSL の設定方法を、備忘録も兼ねて紹介させていただきます。

本項の目的としては「管理画面をレンタルサーバの共用SSL で利用する」になりますので、お問い合わせメール(Contact Form 7)の共用SSL に関してはここでは触れておりません。。。また後日、紹介させていただきます。
続きを読む