WordPressセキュリティ設定
目次
WordPressセキュリティ設定
本機能は、ご利用のWordPressにおいて、各種ツールに対する国外IPアドレスからの接続を制限したり、パスワード総当り(ブルートフォースアタック)による第三者のログインを防止するなど、不正なアクセスに対するセキュリティを強化する機能です。
機能の詳細については、下記をご参照ください。
国外IPアクセス制限設定
本機能では、下記のようなWordPress機能への国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぎ、WordPressサイトのセキュリティを向上させることができます。
- ダッシュボード アクセス制限
-
ダッシュボードに対する国外IPアドレスからの接続を制限します。
※通常は「ON(有効)」のまま運用されることを強く推奨します。
制限を解除する場合は個別にIPアドレス制限やBasic認証を行ってください。アクセスが制限される箇所
- /wp-admin … ダッシュボード のフォルダ
- /wp-login.php … ダッシュボード ログイン時にアクセスするファイル
設定OFF(無効)時の「REST API アクセス制限」との連動について
WordPress バージョン5.0以降では記事の投稿に「REST API」を使用するため、国外IPアドレスからWordPressを利用する場合、 「ダッシュボード アクセス制限」とともに「REST API アクセス制限」を「OFF(無効)」にする必要があります。
「ダッシュボード アクセス制限」を「OFF(無効)」に変更する場合、「REST API アクセス制限」も同時に「OFF(無効)」に変更します。 - XML-RPC API アクセス制限
-
スマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します
プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。※通常は「ON(有効)」のまま運用されることを強く推奨します。
※国外IPアドレスのサーバー等から「XML-RPC WordPress API」を利用される場合は「OFF」に設定するとともに、「Disable XML-RPC Pingback」などの、「XML-RPC WordPress API」への不正アクセス対策を行うプラグインを個別にインストールしてください。
アクセスが制限される箇所
- /xmlrpc.php … XML-RPC WordPress API (ファイル)
- REST API アクセス制限
-
「REST API」に対する国外IPアドレスからの接続を制限します。
プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。※通常は「ON(有効)」のまま運用されることを強く推奨します。
アクセスが制限される箇所
- /wp-json … REST APIアクセス時に含まれるURL
初期状態では「ON(有効)」ですが、設定を「OFF(無効)」にする場合などは下記の手順に沿ってください。
1.WordPresseセキュリティ設定メニューへ
サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。
2.制限設定の変更
対象のドメインの設定をご確認の上、右側にある変更ボタンのいずれかをクリックしてください。
現在の設定が変更されていれば、設定完了です。
ログイン試行回数制限設定
本機能は、短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止することが出来ます。
※アクセス制限は、制限されてから24時間後に解除されます。
初期状態では「ON(有効)」ですが、設定を「OFF(無効)」にする場合などは下記の手順に沿ってください。
1.WordPresseセキュリティ設定メニューへ
サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。
2.制限設定の変更
対象のドメインの設定をご確認の上、右側にある変更ボタンをクリックしてください
現在の設定が変更されていれば、設定完了です。
コメント・トラックバック制限設定
本機能では、下記のようなコメント投稿やトラックバックを制限することが出来ます。
- 大量コメント・トラックバック制限
-
コメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。
制限は、6時間が経過した後、自動的に解除されます。初期状態では「ON(有効)」状態です。
- 国外IPアドレスからのコメント・トラックバック制限
-
国外IPアドレスからのコメント投稿、またはトラックバックを制限します。
初期状態では「OFF(無効)」状態ですが、国外からのコメント・トラックバックを必要とされない場合は「ON(有効)」に設定変更することを推奨します。
※CloudFlare(クラウドフレア)等、外部サーバーを経由してアクセスされるようなサービスをご利用の場合も、経由するサーバーが本機能の制限に該当してしまう可能性があります。
その場合は、本マニュアルの設定手順に従って制限を解除してください。
設定の変更は下記の手順に沿って行ってください。
1.WordPresseセキュリティ設定メニューへ
サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。
2.制限設定の変更
対象のドメインの設定をご確認の上、右側にある変更ボタンをクリックしてください
現在の設定が変更されていれば、設定完了です。