本サイトで開発・使用し、無料配布している【Hima Art Utility】プラグインに搭載されている、セキュリティアップに役立つたくさんの機能の中から、注目の機能を紹介します。
なお、【Hima Art Utility】プラグインの詳細情報は以下のページで詳しく紹介しており、同ページからダウンロードもできるようにしています。
ユーザー登録やログイン関係のセキュリティアップ
ユーザー名(スラグ)を変更し、ユーザー名でのログインを無効にする
別々の機能として有効化できるようにしていますが、この2つの機能を使うことで以下のセキュリティアップが図れます。
- 作者アーカイブなどのURLの一部として出力されてしまうユーザー名を別の任意の文字列に変更できる
- 変更した文字列を使ったり、何等かの形でユーザー名がバレてしまった場合にも、メールアドレスとパスワードのみでのログインに制限し、ユーザー名によるログインができないようにする
【補足】ログイン画面のURLの変更機能がないのはなぜ
結構ログイン周りのスパム対策として、ログイン画面のURLを変更するという手法が取り上げられていますが、以下のような運営上の懸念から本プラグインでは採用していません。
- ログイン画面のURLを失念するとログインできなくなる可能性がある
- 常時使用するパソコン以外からのログインをするためにURLを覚えておく必要がある
- 何等かの形で変更したログインURLがバレたらおしまい
結局運営していくうちに変更したログインURLを覚えるわずらわしさから、リダイレクトさせたりフロントエンドにリンクを設置するなどしてしまい本末転倒になるのでは?というのが個人的な見解です。
計算問題検証とログイン試行回数制限
WordPressのサイトでよく使われている機械的なログイン作業を防ぐreCAPTCHAが有料化されるのはご存じかと思います。
本プラグインでは、reCAPTCHAの代わりにロボットに分かりにくい形で計算問題を出し正答ならログインを強化する機能と、おなじみのログイン試行回数による制限を行う機能があります。
この2つを組み合わせることである程度のログインセキュリティを保つことができると思います。
別の機能で、ログイン画面に表示される「ログイン状態を保存する」のチェックボックスを無効にして、必ずログイン処理が必要になるようにすることもできますし、そうした環境でログインを行った履歴(成功・失敗)を残す機能も設けています。
更にログインしたことをサイトのメールアドレス宛に通知する機能や、ユーザーに通知する機能、ログインに失敗した際にメール通知する機能などいろいろな不正ログイン防止&検知機能を持っています。
サイト全体のセキュリティアップ
REST APIを無効にする
WordPressには標準でREST APIという外部からさまざまな情報を取得できるようにする機能があります。
自身で管理する複数のサイトの情報を取得してポータルサイトを作る際などに便利なのですが、自身だけでなくこのAPIを知るすべての人へデータの取得ができるような仕様になっており、その中にはユーザーの情報が含まれていたりするため、セキュリティ的にどうなの?という面があります。
本プラグインではREST APIを使っての情報取得を制限し、基本的には自ドメインのみを許可するようにできます。
また、利便性を確保するため、フィルターフックを使って許可するドメインを追加することも可能です。
SSL通信の強制とセキュリティヘッダーの追加
多くのレンタルサーバーではSSL通信(httpsでの通信)を行うための証明書と設定を無料で提供していますが、それでは完全とは言えず、すべてのページで非SSL通信(httpでの通信)をSSL通信に強制する処理が必要になります。
もしも自身のサイトをチェックしてhttp、httpsの両方でアクセスできるようであれば、この強制措置が行われておらず安全とは言えません。ただこの措置は.htaccessというファイルを編集することが必要で、慣れていない方は不具合が発生してしまうかも知れません。
そこでより安全に常時SSL通信を実現できるよう、本プラグインでは、スイッチで簡単にSSL通信へ強制する機能を搭載しています。
また同時に、常に安全なHTTPS接続を使用するようにブラウザに指示するセキュリティヘッダーを出力する機能も搭載しており、ブラウザに特定のセキュリティ機能の有効化を指示し、ウェブサイトの脆弱性を悪用する攻撃を防ぐことができます。
【Hima Art Utility】プラグインに搭載されているサイトのセキュリティアップに役立つ機能のすべては以下のページをご覧ください。
また、【Hima Art Utility】プラグインの概要やダウンロードは以下のページからどうぞ。
