Acunetix WP Security -セキュリティ対策用プラグイン

シェアする

  • このエントリーをはてなブックマークに追加
  • 0
スポンサーリンク

はじめに

Acunetix WP Securityは、脆弱性をスキャンし、それに対するセキュリティ対策ができるプラグインです。

初期設定のままだとセキュリティ対策はしていない状態と同じで危険に晒されている状態です。
このプラグインを導入して基本的なセキュリティ対策を行いましょう。

基本的な機能
1.脆弱性のスキャン
2.セキュリティの設定
3.データベースの設定
4.ファイルのパーミッション変更
5.管理者以外に情報を表示させない

メニュー項目の設定

Dashboard

脆弱性スキャンの結果がここに表示されます。初期状態のままですと、幾つか赤く表示される項目があるのが分かると思います。

マークには3種類あり、それぞれ

赤:緊急で対応が必要
黄:緊急性はないが解決したほうが好ましい
緑:特に対応は必要なし

という意味です。

英文で表示されているので何をすれば良いのか分かりづらいと思います。左にあるプラスマークをクリックすると問題点と解決する方法が表示されます。これも英文で表示されるので困るかもしれません。ここでは不要なファイルを削除するとかデータベースの設定が良くないよといったことを表示しているので簡単な設定をすれば解決(黄色マークの項目や赤マークの項目が緑になる)します。

それにこのプラグインの良いところは英文の意味がわからなくても、ほとんどの項目を簡単に解決していくことが可能だということ。Dashboardでは今のサイトの状態を確認するといった使い方になるでしょう。

Database

ここではデータベースのセキュリティ対策を行います。
データベースのバックアップとデータベースをバックアップしてできたファイル、データベースの接頭辞(Prefix)を変更する項目が表示されています。

初期状態のままではダメ?人それぞれだと思いますが、初期状態のままだと接頭辞(Prefix)が「wp_」のままなのでWordPressを知っている人すべてに公開している状態と同じです。外部から攻撃される場合、真っ先に見つけられてしまうのではないでしょうか?MySQLで管理されているデータは自分の大切な資産ですのでデータベースにも設定をしましょう。

本来は自分でwp-config.phpファイルの編集やサーバーにアクセスして書き換え作業が必要だったりしますが、プラグインで簡単に設定が可能です。最初にすることとしてはデータベースのバックアップです。何か問題が起きても復旧を簡単に行うためです。ページ内にある「Backup now!」を押してバックアップをしておきましょう。

バックアップが完了したら接頭辞(Prefix)を変更していきましょう。接頭辞の変更方法はとても簡単でページ内の「Change the current:」と表示されている横に文字を入力するところがあります。初期状態のままですと「wp_」と表示されているはずです。ここを別の文字にします。入力が完了したら下にある「Start Renaming」を押して変更を保存しましょう。

WP Info

「Server Report」「WordPress Scan Report」「File Scan Report」の3つが表示されています。
「Server Report」はサーバーの状態が表示されます。「WordPress Scan Report」は脆弱性スキャンの結果が表示されます。ここでは「File Scan Report」に表示されているパーミッションの変更をしておくことを強くおすすめします。
パーミッションとは簡単に言えば権限のことでディレクトリやファイルへのアクセス権限のことを言っています。初期状態のままだとセキュリティが脆く第3者からアクセスされてしまう可能性があるので変更しておきましょう。

本来、パーミッションの設定は難しく感じることが多いですが、このプラグインでは難しく感じるパーミッションの一括変更が可能です。ページ下部にある「Apply suggested permissions」を押せば最適な設定に変更してくれます。

WP File Scan

特に設定することはありませんが、定期的にファイルのスキャンはしておきましょう。

Live Traffic

設定できるのは表示するトラフィックの数と更新する間隔くらいです。

Blog

acunetixのブログです。興味があれば覗いてみましょう。

Settings

英文ですが、以下のようなことが設定できます。

WordPress のバージョン情報を表示しない
管理者以外向けのヘッダー内メタタグを削除
外部アプリケーションから情報を取得するためのプロトコルのメタタグを削除
Windows Live Writer のメタタグを削除
PHP とデータベースのエラー報告を管理者以外に表示しない
管理者以外に WordPress のアップデート通知をしない
管理画面でのプラグインのアップデート通知をしない
管理画面での WordPress テーマのアップデート通知をしない
ログイン画面でのログインエラー通知をしない
管理者以外には管理者通知を表示しない
重要なディレクトリの一覧表示を隠すために「index.php」ファイルを作る
URL からバージョンのパラメーターを削除
ルートディレクトリにある「readme.html」ファイルの中身を空にする
ダッシュボードに RSS ウィジェットを表示する
Live Traffic ツールを有効にする

基本的にすべての項目にチェックをいれて有効にしておきましょう。選択したら「Update settings」を押せば設定は完了です。

まとめ

以上が基本的な機能と簡単な設定方法でした。このプラグインを使って設定しておけばセキュリティ対策は完璧かといえば、そうでもないのですが、基本的なセキュリティ対策はしておくに越したことはないので導入したら設定しておきましょう。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする