
自分でサイトを構築するセキュリティも非常に重要な部分であり、この「Defender WordPress Security, Malware Detection, and Firewall」というプラグインは、あなたのウェブサイトに対してセキュリティチェック、マルウェアスキャン、ファイアウォール機能を提供します。さらにセキュリティに関するアドバイスも提供するので、使用をお勧めします。
Defender Securityの紹介とダウンロード
Defender WordPress Security, Malware Detection, and Firewallは、以前Naibaサイト構築ノートで紹介した非常に使いやすいWordPress速度最適化プラグイン「Hummingbird」同じ会社の別の無料プラグインです。
Defender WordPress Securityを使用すると、数回クリックするだけで最適なWordPressセキュリティ設定を得ることができます。
Defender WordPress Securityがサポートする機能:
- マルウェアスキャン;
- ファイアウォール;
- 二要素認証;
- ブルートフォースログイン攻撃の防止;
- SQLインジェクションの防止;
- クロスサイトスクリプティング(XSS)攻撃の防止;
- その他のWordPress脆弱性。
プラグインは中国語に対応しており、Naibaはサイト構築ノートウェブサイトでテストしてみましたが、機能はまずまずで、現在使用中です。
Defender Securityの使用方法
1、プラグインを初めて使用する際にはクイックセットアップがあり、「開始」ボタンをクリックするだけです。
2、スキャンが完了すると結果が表示され、問題がある箇所は通知されます。
3、「セキュリティ調整」セクションでは、コンピュータのセキュリティアシスタントのように、いくつかのセキュリティに関するアドバイスが提供されます。各アドバイスをクリックして確認し、自身の状況に応じて採用するかどうかを選択できます。
- TrackbackとPingbackを無効化する(アドバイスの採用を推奨)
- Database Prefix(データベースインジェクションのリスク。データベースのプレフィックスを変更するアドバイスが提供されますが、すでにインストール済みのサイトではこのアドバイスを採用することはお勧めしません。データベースプレフィックスの変更にはリスクがあります。)
- File Editor(ファイル編集を無効化。アドバイスの採用を推奨)
- セキュリティキー(アドバイスの採用を推奨)
- Information Disclosure(情報漏洩の防止。サーバー管理者の対応が必要です。アドバイスを受け入れることができます。)
- 管理ログイン持続時間(デフォルトは14日間。短く調整可能です。)
4、ファイルスキャン(File Scanning)では、WordPressのデフォルトディレクトリに含まれていないファイルやフォルダがスキャンされ、以下の図のように表示されます:
これは自分で判断する必要があります。例えば、上の画像のファイルの多くは検索エンジンの確認ファイルで、セキュリティ上の脅威はないので、無視して構いません。
5、IPロック
IPロックは簡単なファイアウォール機能ですが、この機能は非常に実用的です。
ログ:IPロックのセクションに入ると、ログが表示されます。あなたのサイトで誰かが404ページにアクセスすると、ここに表示されます。この機能は、サイトの404ページを調査したり、存在しないファイルをスキャンするボットのIPを直接ブラックリストに登録したりするのに役立ちます。
ログイン保護:これはあなたのサイトの管理者アカウントをブルートフォース攻撃するための強力なツールです。デフォルトでは5分間に5回のログインエラーで5分間アクセスを禁止します。より長い時間、またはそのIPを永久に禁止することもできます。同時に、ログインを禁止するユーザー名を設定できます。例えば、adminでログインしていないのに、誰かがadminでログインしようとした場合、それはボットによるブルートフォース攻撃なので、直接ブラックリストに入れます。
もちろん、他のWordPressブルートフォースログイン保護プラグインを使用している場合は、それらを無効化して削除することができます。同じ機能を持つプラグインは一つで十分です。
404検出:デフォルトでは、5分間に404ページに20回アクセスすると、5分間ブラックリストに入れられます。実際には、この値を高く設定することもできます。例えば、3分間に10回などにすると、基本的にスパムボットを遮断できます。
IPブロック:これはIPのホワイトリストとブラックリストです。IPアドレスを永久にブロックしたい場合は、直接IPを追加するだけです。注目すべきは、ここには地域別にIPをブロックする機能が組み込まれているため、iQ Block Countryこのプラグインを使用している場合です。
6、高度なツール
高度な機能には2つの機能があります。1つは二要素認証、もう1つは管理アドレス非表示(Mask Login Area)です。二要素認証はGoogleのものを使用しており、中国国内では使用できないため、有効にするかどうかよく考えてください。管理アドレス非表示は、WPS Hide Loginを選択する必要があります。
残りの高度な機能の中で、ブラックリスト監視はあまり役に立たず、監査ログはWP Security Audit Logで代用できます。





