WordPressサイトのセキュリティ対策は運営者にとって重要な課題です。無料で利用できる「Solid Security」プラグインを使えば、基本的なセキュリティ対策から高度な保護まで実現できます。この記事では、Solid Security無料版の主要機能と推奨設定について解説します。

Solid Security無料版の主要機能

Solid Securityは以下のカテゴリの機能を提供しています:

  1. 基本的なセキュリティ機能
  2. ログイン強化
  3. スキャンと監視
  4. システム強化

それぞれの詳細と設定方法を見ていきましょう。

1. 基本的なセキュリティ機能

ブルートフォース対策

設定方法: 「機能」タブ→「Login Security」と「Firewall」セクション

  • ローカルブルートフォース保護: ログイン試行の制限と自動ブロック
  • ネットワークブルートフォース保護: 共有データベースによる既知の不正IPのブロック
  • 禁止ユーザー: 特定のIPアドレスとユーザーエージェントをブロック
  • Firewall Rules Engine: ファイアウォールルールでサイト保護

推奨設定: すべての機能を有効化し、ロックアウト設定は以下のように設定:

  • ロックアウトまでの回数: 10~15回
  • ロックアウトを有効にする日数: 7日
  • Ban(禁止)リスト追加までの違反回数: 3回

注意点: ネットワークブルートフォース保護を有効にするにはメールアドレスの登録が必要です。

2. ログイン強化

パスワード要件の強化

設定方法: 「ユーザーグループ」→「パスワード要件」セクション

推奨設定:

  • 「強力なパスワード」を有効
  • 「不正なパスワードの使用を拒否する」を有効

3. スキャンと監視

ファイル変更検知

設定方法: 「機能」タブ→「Site Check」セクション→「File Change」

推奨設定: 有効化し、定期的に編集するファイルやディレクトリは除外リストに追加

注意点: テーマファイルを頻繁に編集する開発環境では、関連ディレクトリを除外リストに追加すると便利です。

サイトスキャン

設定方法: 「機能」タブ→「Site Check」セクション→「Scheduled Site Scan」

推奨設定: 有効化して定期スキャンを設定(デフォルトでは1日2回)

機能: マルウェアやWordPress/プラグインの脆弱性を検出

データベースバックアップ

設定方法: 「機能」タブ→「Utilities」セクション→「データベースのバックアップ」

推奨設定: 他のバックアップ手段(例: BackWPUp、All in One Migration)がない場合のみ有効化

注意点: この機能は完全バックアップではなく、データベースのみをバックアップします。

4. システム強化

システムファイルの保護

設定方法: 「高度な設定」タブ→「システムの構成設定」→「ファイルアクセス」

推奨設定:

  • 「システムファイルの保護」を有効
  • 「ディレクトリの参照を無効」を有効

PHPの実行制限

設定方法: 「高度な設定」タブ→「システムの構成設定」→「PHPの実行」

推奨設定:

  • 「アップロードでPHPを無効」を有効
  • 「プラグインでPHPを無効」を有効
  • 「テーマでPHPを無効」を有効

XMLRPCと REST API 設定

設定方法: 「高度な設定」タブ→「WordPressの設定変更」→「API アクセス」

推奨設定:

  • XML-RPC: 無効化または制限(.htaccessファイルで対応済みの場合は不要)
  • REST API: 必要に応じて設定(完全に無効化するとGutenbergエディタなどに影響する場合があります)

5. 通知設定

設定方法: 「通知」タブ

推奨設定:

  • 送信元メールアドレスを正確に設定
  • デフォルトの受信者(管理者)を設定
  • 重要なセキュリティイベントの通知を有効化

6. 高度なセキュリティツール

「ツール」セクションでは、以下の追加セキュリティ機能が提供されています:

  • ユーザーIDの変更: 管理者アカウント(ID=1)のIDを変更して単純な攻撃を防止
  • データベーステーブルのプレフィックス変更: デフォルトの「wp_」から変更してデータベースへの攻撃リスクを低減
  • 暗号化キーの設定: センシティブな値を保護するための暗号化キーを設定

注意点: これらのツールを使用する前に、必ずデータベースのバックアップを取ってください。

まとめ: 最低限行うべき設定

Solid Securityを初めて設定する場合、以下の項目を優先的に設定することをお勧めします:

  1. ブルートフォース対策の各機能を有効化
  2. 強力なパスワード要件を有効化
  3. ファイル変更検知を有効化
  4. 定期的なサイトスキャンを有効化
  5. システムファイルの保護を有効化
  6. PHPの実行制限を設定
  7. 通知設定を適切に構成

これらの設定を行うことで、WordPressサイトのセキュリティレベルを大幅に向上させることができます。また、検出された脆弱性は速やかに対応し、WordPressコア、テーマ、プラグインを常に最新の状態に保つことも重要です。

不要な設定について

以下の機能は、特定の条件下では設定が不要な場合があります:

  • SSL強制: .htaccessファイルで別途設定済みの場合
  • ログインURLの変更: functions.phpなどで別途実装済みの場合
  • XMLRPCの無効化: .htaccessで対応済みの場合
  • データベースのバックアップ: 他のバックアッププラグイン(BackWPUpなど)を使用している場合
  • ファイルエディタの無効化: 開発中のサイトで頻繁にテーマ編集が必要な場合(本番環境では有効化推奨)

セキュリティ対策は継続的なプロセスです。定期的なスキャン結果の確認と、必要に応じた設定の見直しを行いましょう。

以上のガイドが、あなたのWordPressサイトを安全に保つ助けになれば幸いです。