【初期設定のままでは危険】WordPressインストール後にやるべきセキュリティ設定
WordPressをインストールした直後のユーザ名は、「wpmaster」であり、ログインページのURLは、「ドメイン名/wp/wp-login.php」。
この状態から何も変更をせず、対策もしていないWordPressユーザが多いのが現状。
実は、この状態って、とても危険なんです。
WordPressは、総当たり攻撃(ブルートフォースアタック)の標的にされやすいです。
もし、ターゲットになってしまった場合、何も対策をしていなければ、ログインされてしまうかもしれません。
そうなった場合には、頑張って書いた記事を全て削除される...なんてこともあるかもしれません。
また、ログインされなかったとしても、そういったアクセスが大量にあると、サイトパフォーマンスを大幅に下げてしまうことになるでしょう。
それらを回避するため、WordPressインストール後に行うべき、セキュリティ設定をご紹介したいと思います。
1. ユーザ名を変更しよう
まずは、初期ユーザである「wpmaster」を任意のユーザ名に変更しましょう。
左側のメニュー「ユーザー」へ移動し、新規作成を押します。
メールアドレス: 任意のメールアドレス
パスワード: パスワードを表示を押した後、任意のパスワードに変更(そのままでも良いです)
権限グループ: 管理者
現在、使用しているwpmasterは後で削除してしまうため、新規で作成するアカウントを「管理者」に設定しましょう。
設定が完了したら、一度ログアウトをした後、先ほど登録したアカウントで、ログインします。
そして、もう一度ユーザー一覧を開きます。
wpmaster以外のアカウントでログインしている場合は、こちらの画像のように「削除」が表示されると思いますので、削除を選択します。
もし、すでに記事を投稿していた場合には、「すべてのコンテンツを以下のユーザーのものにする」を選択することで、新たに作成したユーザーに記事を引き継ぐことができます。
これで完了です。
2. ログインURLを変更する
「SiteGuard WP Plugin」というプラグインを導入します。
無料でかつ、セキュリティ面を大幅にカバーしてくれる優秀なプラグインです。
こちらの導入には、サーバにWAFがインストールされている必要があります。
もし、導入がうまくいかないという場合には、確認してみてください。
左側メニューからプラグインを選択し、新規追加を押します。
検索欄より「SiteGuard WP Plugin」を検索し、出てきたプラグインをインストールしましょう。
こちらを有効化することで、ログインURLが変更されます。
変更されたログインURLは、WordPressに登録されたメールに送信されます。
これで、サイトへの攻撃はある程度防ぐことができるのではないでしょうか。
また、新しいPCからのサイトへのログインがあった場合、メールへの通知も送信、ログイン履歴等も保管されるため、非常に心強いです。
詳細な設定項目等については、こちらのサイトを確認すると良いでしょう。
【セキュリティ対策】WordPressプラグイン「SiteGuard WP Plugin」の設定方法について
