WordPressサイトで最低限必要と思われるセキュリティとスパム対策機能です。
ログインセキュリティ
不正ログインを防ぐための機能です
ログインをメールアドレスに限定する
ユーザー名+パスワードでのログインを禁止し、ユーザーの投稿一覧URLからユーザー名を推察されての不正ログインを防止します
本機能を有効に使うためには、サイトのメールアドレスと管理ユーザーのメールアドレスを異なるものにする必要があります
ログインヒント文字列を変更する
ログイン失敗時の以下のメッセージを「ログインに失敗しました」へ統一し、エラー詳細が分からないようにします。
- 「エラー: ユーザー名 ___ は、このサイトに登録されていません。ユーザー名が不明な場合は、代わりにメールアドレスを入力してください。」
- 「エラー: ユーザー名 ___ のパスワードが間違っています。 パスワードをお忘れですか ?」
計算問題によるログイン認証
ログインフォームへ簡単な足し算の問題を表示し、正解の場合のみログインを許可します。
不正解の場合には管理者宛にメールを送信します。
ユーザースラグを変更する
ユーザーの投稿一覧URL中に表示されてしまうユーザー名を別名に変える機能です
ログインをメールアドレスに限定する機能と併用することで、ログインセキュリティをさらに強化できます
ユーザー登録セキュリティ
ユーザー登録時の制限事項を追加する機能です
ユーザー名の最低長を設定
標準で最低4文字となっている登録時のユーザー名を最低6文字以上に変更します
ユーザー名の制限
設定画面内のブラックリストに追加した文字列、および以下のユーザー名での登録を禁止します
フォームへ未入力の状態でも以下のユーザー名は使用できないようにしています。
「www」「web」「root」「admin」「main」「invite」「administrator」
ログイン時のメール通知
サイトへ誰かがログインした際に、管理者メールアドレス(管理画面の「設定」パネルで指定したメールアドレス)へメール通知します
ログイン後、ユーザーへログインしたかを確認するメールを送信します
サイト全体のセキュリティ
WordPressサイトのセキュリティアップに役立つ機能です
XML-RPC API通信を無効にする
XML-RPCを使ったリモート接続やリモート投稿機能を無効にします
REST APIを無効にする
必要外のREST API接続を無効にし、情報の漏洩や不正な利用を防ぎます
具体的には、以下の要求以外ではアクセス拒否を行います
- 投稿や固定ページ、サイト内部の処理用に使用されるREST API通信
- 同一のグローバルIPアドレスを持つサーバーからの要求
- oembedでの埋め込みに必要な通信
- Jetpackプラグインの動作に必要な通信
- Contact Form7プラグインの動作に必要な通信
- Redirectionプラグインの動作に必要な通信
WPバージョン情報を削除
HTMLソースコードに出力されるCSSやJSの読み込みタグから、WordPressのバージョン情報を削除します。
Generatorタグを削除
HTMLソースコード上に出力されるGeneratorタグを削除し、WordPressバージョンが分からないようにします。
スパム対策
WordPressサイトにありがちなスパム行為への対策機能です
コメントスパムの排除
コメント入力項目にダミー項目(ハニーポット)を追加し、機械的に投稿されるコメントにエラーを返します
ユーザー登録スパムの排除
ユーザー登録フォームへダミー項目(ハニーポット)を設け、機械的にユーザー登録を行う迷惑行為を防ぎます
ブルート フォース攻撃の回避
ログインフォームを開かずにログイン試行を行う行為を排除し、ブルートフォースアタックによるサーバーへの負荷を軽減します
SSL通信設定
すべてのコンテンツを301リダイレクトする
すべての投稿・固定ページで非SSL(http://~)プロトコルでのアクセスがあった時、SSL(https://~)プロトコルでのアクセスとして転送します。
セキュリティヘッダーの追加
HSTS(Hypertext Strict Transport Security)を設定し、入力したデータが傍受されたりするのを防止します。
詳しくは以下のページをご覧ください。