【プラグイン】All In One WP Security・設定と使い方

    icon-clock-o読了時間:約35分57秒

前回記事 2個めのWordPressをインストール でご紹介したように、
さくらインターネットのサービスと契約していて、WordPressをクイックインストールした場合に
あらかじめ初期プラグインとしてセットで入ってくるプラグインの内の
一つが All In One WP Security & Firewall です。
All In One WP Security・設定と使い方ロゴ
All In One WP Security はWordPressのセキュリティ用プラグインで、
管理者(自分)以外の人間が管理画面に侵入することを防いだり、
コメントを無効化してスパムコメントを防いだり、といった機能があります。

設定も割と簡単なので、他にセキュリティ用プラグインを使っていない方は有効化して使ってみてください。
プラグインを一覧の中から【 有効化 】すると、サイドメニューに設定メニューが表示されます。
All In One WP Securityサイドメニュー
※他にセキュリティ用のプラグインを入れた場合は、
 同じ機能が競合して動作が遅くなることがあるので
 機能を比較して、不要なほうの停止・削除を行ってください。



 目次 

Dashboard(ダッシュボード)

Settings(設定)
  ∟General Settings(一般設定)
  ∟.htaccess File
  ∟wp-config.php File
  ∟WP Version Info
  ∟Import/Export
  ∟Advanced Settings(詳細設定)

User accounts(ユーザーアカウント)
  ∟WP Username
  ∟Display Name
  ∟Password

User Login(ログインのセキュリティ)

User Registration(ユーザー登録)
  ∟Manual Approval
  ∟Registration Captcha
  ∟Registration Honeypot

Database Security(データベースのセキュリティ)

Filesystem Security(ファイルシステムのセキュリティ)

WHOIS Lookup(WHOIS情報の検索)

Blacklist Manager(ブラックリスト管理)

Firewall(ファイアウォール)

Brute Force(ブルートフォースアタックへの対策)

SPAM Prevention(スパム防止)

Scanner(マルウェアのスキャン)

Maintenance(メンテナンスモード)

Miscellaneous(その他の設定)
  ∟Copy Protection
  ∟Frame
  ∟Users Enumeration
  ∟WP REST API



Dashboard
(ダッシュボード)

ダッシュボードでは、
・現在のセキュリティの安全性がどの程度か
・WordPress管理画面のログイン履歴
・メンテナンスモードのON/OFF
といった項目が表示されています
All In One WP Security ダッシュボード
プラグインの開発者情報(Spread the Word と Get To Know The Developers)は
そんなに頻繁に見ることもないかと思うので、
ドラッグ&ドロップで配置を入れ替えた方が使いやすいかと思います。



それでは以下で順番に各設定項目についてご説明します。


Settings
(設定)

ここは基本的に設定前のバックアップや、いざエラーが起きた際に使う項目です。


General Settings(一般設定)
データバックアップを取る

セキュリティ機能を有効化した後で、WordPressテーマや他のプラグインとの競合で
エラーが起きた場合に備えて、あらかじめバックアップを取っておくと安心です。

・Backup your database
・Backup .htaccess file
・Backup wp-config.php file

それぞれのリンク先から、データベース、.htaccessファイル、
wp-config.phpファイルのバックアップを取得することができます。

Disable Security Features

【 Disable All Security Features 】をクリックすると
このプラグインで有効にしたセキュリティ機能を全てオフ(無効)にします。

Disable All Firewall Rules

【 Disable All Firewall Rules 】をクリックすると、ファイアウォールの設定を全て無効化して、
.htacessファイルからもファイアウォールに関する記述を削除します。

Debug Settings

『 Enable Debug 』(デバッグの有効化) の部分にチェックを入れ、
【 Save Debug Settings 】をクリックすると、このプラグインのデバッグ機能が有効になります。

※デバッグのログファイル(lugins / all-in-one-wp-security-and-firewall / logs)は、
プラグインの更新が入る度にリセットされます。


.htaccess File

【 Backup .htaccess File 】をクリックすると、現在の.htaccessファイルのバックアップを保存します。

『 .htaccess file to restore from 』 の横から復元に使いたいファイルを選択して
【 Restore .htaccess File 】をクリックすると、ファイルを以前のものに戻すことができます。

『 .htaccess(エイチティーアクセス) 』 ファイルとは

サーバーの挙動を制御するApacheというプログラムソフトに対する設定を行うもの。
自分のサイトが間借りしているサーバーに対して『 こういう時はこうしてほしい 』 という
お願いを記述するファイルが.htaccessということです。

・サイトを引っ越したから【 http://●●.com 】に誰かがアクセスしようとしたら、
 そのページじゃなくて【 https://●●.com 】に連れてきてね!
 (HTTPからHTTPSにリダイレクト
・このIPアドレスは怪しい奴だからうちのサイトにアクセス禁止、入れないように弾いといて!
・存在しないURLにアクセスしたら【 404エラー用に作ったページ 】を表示しといて!
 (特定の相手のアクセスを拒否・サイトに制限をかける

こんな感じで、.htaccessファイルには色々な設定を記述することができます。
ただ、このファイルの記述を間違うと、そもそもサイト自体が
エラーで表示されなくなったりもするので、自分で記述する際は慎重に編集してください。


wp-config.php File

WordPressの基本機能のファイルである『 wp-config.php 』 のバックアップと復元。

【 Backup wp-config.php File 】をクリックすると、
現在の wp-config.php ファイルのバックアップを保存します。

『 wp-config file to restore from 』 の横から復元に使いたいファイルを選択して
【 Restore wp-config File 】をクリックすると、ファイルを以前のものに戻すことができます。


WP Version Info

【 Remove WP Generator Meta Info 】の項目にチェックを入れると
WordPressのバージョン情報を隠すことができます。
WordPressのバージョン情報を隠す
WordPressのバージョンがソースファイル上に表示されていると
そのバージョンのセキュリティの脆弱性を突かれることがあるので
とりあえずチェックを入れて隠しておくと良いでしょう。


Import/Export

このプラグインの設定情報のインポート(入力)とエクスポート(出力)。

このプラグインの設定情報をエクスポートで外部に保存し、インポートで復元します。
同じ設定を他のWordPressサイトでも使いたい時などに便利。


Advanced Settings(詳細設定)

サイト訪問者のIPアドレスを取得保存するための変数をデフォルトから変更したい方向けの設定項目。


User accounts
(ユーザーアカウント)

この設定項目では、自分のWordPress上の管理者名(ユーザ名)などの確認・変更ができます。

WP Username

WordPressのインストール時のデフォルト設定だと、ユーザー名は 『 admin(管理者) 』 になります。
もしも 『 admin 』 のままだった場合は、お早めに別の任意の名称に変更してください。
デフォルト名だと、怪しい奴が不正ログインしようとした時に
「 ユーザー名が『admin』って分かってれば後はパスワードだけ当てれば良いんだな 」
となってしまうので、セキュリティ上あまり宜しくない状態です。

クイックインストールの際に自分でユーザー名を変更した場合は
ちゃんとその名前がここに表示されているはずなので何もする必要はありません。
All In One WP Security・ユーザーアカウント名


Display Name

コメントを投稿した際に表示する名前についての設定です。

他のWordPressサイトでコメントを投稿したり、自サイトのコメントに返信した際に、
デフォルトでユーザー名を 『 ニックネーム 』 として表示するようになっています。

これも上記の 『 admin 』と同じように
「 ユーザー名が『●●●』って分かってれば後はパスワードだけ当てれば良いんだな 」
と悪用されることがあるので、気になる方はニックネームを変更しておきましょう。

たとえばユーザー名が 『 Ichiro 』 だったら
ニックネーム表示は漢字で 『 一郎 』 にしておくとか。
不正ログインは海外からのアクセスが圧倒的に多いので、こうした変更でも有効かと思います。


Password

設定しているパスワードのセキュリティ強度を調べることができます。

『Start typing a password.』の上部の入力欄にパスワードを入れてエンターキーを押すと
一般的なデスクトップパソコンを使ってそのパスワードを
解読・突破するまでにかかる時間の目安を算出してくれます。
パスワードの強度
私の場合は英字と数字を混ぜてかなり長めにしているので
なんか桁数が良く分からないくらいになってますね。
このくらいだったらパスワードの強度はまず安心。


User Login
(ログインのセキュリティ)

【 User login 】内の『 Login Lockdown Configuration 』 の項目では
パスワードを数回間違えた人を一定時間ログインページに入れなくする設定ができます。

自分がうっかりパスワードを打ち間違えるとしても1、2回だろうから
それ以上の回数間違えるなら怪しい侵入者だろう、
侵入者に繰り返しログインを試されないように閉め出そう、ということですね。

以下の例の場合だと、
5分以内に3回ログインに失敗したIPアドレスからは
それ以降の60分はログインできないようにする

という設定にしています。
All In One WP Security・User Login(ログインのセキュリティ)

 icon-lightbulb-o ポイント

※ロックアウトの設定を有効にしていて、うっかり自分がロックアウトされてしまった時は
違うパソコンやスマホからでアクセスすれば
IPアドレスが変わるので制限に引っかからずにログインできます。

※ちょいちょいユーザー名やパスワードを間違えそうでやばい、という方は
ホワイトリスト(上図の緑色の部分)に登録しておくと安心ですね。
その際には自分が普段WordPressの管理に使う機器(パソコン、タブレット、スマホ等)
それぞれのIPアドレスを忘れずにいれておきましょう。
複数のIPアドレスを記述する場合は
123.123.12.0
123.123.13.1
のように、改行して1行につき1つのアドレスを記述します。

※ただし、回線の切断・再接続などでIPアドレスは変わってしまうことがあります。
特にスマホは、Wi-Fi接続した際のIPアドレスとそれ以外の接続のIPアドレスが変わることが良くあるので
自分のログインを怪しい奴のログインと間違えてブラックリストに入れないようにご注意を。


User Registration
(ユーザー登録)

WordPressの登録フォームから新規アカウントの追加を許可している場合、
不正ログインした怪しい奴に勝手に管理画面に入られて
怪しい奴を複数管理者として追加登録されてしまうかもしれません。
そうなると、記事の中に偽ブランド品サイトに誘導するURLを貼られたり、
メールフォームを悪用されて迷惑メールの送信元にされてしまったり、
といった実害が出る可能性があります。
それを防ぐための機能がこの 『 ユーザー登録設定 』です 。

Manual Approval

Enable manual approval of new registrations 】(新規登録の手動承認を有効にする)の
チェックボックスにチェックを入れると、今後新規登録したアカウントをひとまず全て保留にして、
管理者である自分が許可を出さない限り、新規アカウントを開始することはできなくなります。

Registration Captcha

上部タブ【 Registration Captcha 】をクリックして
『 Enable Captcha On Registration Page 』 にチェックを入れると、
新規アカウント追加登録フォームに簡単な足し算などのフォームが追加されます。

基本的にロボット(この場合は、自動的にサイトを巡回して不正アクセスを試みるプログラム)は
そうした計算を理解して回答を入力する機能を持たされていないため、
こうしたフォームを追加することで、ロボットの不正アクセスを防ぐことができます。

Registration Honeypot

上部タブ【 Registration Honeypot 】をクリックして
『 Enable Honeypot On Registration Page 』 にチェックを入れると、
新規アカウント追加登録フォームにハニーポットを設置します。

ロボットプログラムに対して
『 ここにセキュリティ突破できそうな場所がありますよ~ 』と
罠を設置して、それに反応した奴はロボット、という判断をして
そのIPアドレスをサイトの外に飛ばす、ということですね。

上の手動許可と計算式フォームさえ有効化しておけば、
別にハニーポットまでは要らないかなーと思って私は無効にしています。


Database Security
(データベースのセキュリティ)

データベース(自分がファイルなどを置いているサーバー上の場所)のセキュリティ設定です。

DB Prefix

WordPressのデータベーステーブルはデフォルトで名称の頭に 『 wp_ 』 と付いているので、
不正ログインしようとする怪しい奴に名前を推測されやすい状態です。
ここでChange Database Prefix、つまりデータベース接頭辞の変更を有効化すると、
『 8kpoe_ 』 といったランダムな接頭辞に変わります。

ただ、データベースに何らかの変更を加えると
WordPressや他プラグインでエラーが発生することがあります。
いざという時に自力でデータベースの修正やデータ復元が出来る方でない限り、
この機能は有効化しない方が良いかもしれません。

DB Backup

【 Create DB Backup Now 】をクリックすると即時データベースのバックアップを取ることができます。

『 Automated Scheduled Backups 』 の項目では定期的なバックアップの設定ができます。
私は他にバックアップ用のプラグインを入れているので、ここは無効のままにしています。
  icon-lightbulb-o 【プラグイン】バックアップ保存用BackWPupのインストールと設定
  icon-lightbulb-o 【プラグイン】バックアップ保存用BackWPupの使い方(活用編)


Filesystem Security
(ファイルシステムのセキュリティ)

File Permissions

WordPressの各ファイルへのパーミッション(アクセス権限)の安全性をチェックできます。
基本的に全ての項目が緑になっていればセキュリティ上の問題はありません。

PHP File Editing

WordPressテーマやプラグインのPHPファイルを管理画面から編集できないようにする設定。
『 Disable Ability To Edit PHP Files 』 にチェックを入れると、
WordPress管理画面のサイドメニューの【 外観 】⇒【 テーマの編集 】も使用できなくなります。

一度外観作り上げたら後はそんなにテーマの編集することも無いし、
セキュリティの方が重要!という方はチェックを入れておくと良いでしょう。
私はちょいちょい外観をいじるので、テーマの編集に入れないのは
面倒だなーと思ってチェックは外したままにしています。

WP File Access

『 Prevent Access to WP Default Install Files 』 にチェックを入れると、
WordPressインストールに含まれる初期ファイル(readme.html、license.txt、wp-config-sample.php など)に
アクセスできないようにして、WordPressバージョンなどの情報を外部から見られないようにします。
この辺りのファイルは普段自分も見ることは無いので、有効化しておいても良いかもしれませんね。

Host System Logs

【 View Latest System Logs 】をクリックすると
error_logというファイルに保存されているエラーログや警告ログを見ることができます。
View Latest System Logs
『 No system logs were found!(システムログは見つかりませんでした) 』 と表示されれば、
現状でエラーが特に無いということなのでそれでOKです。
エラーログが表示された場合は内容を確認して修正しましょう。


WHOIS Lookup
(WHOIS情報の検索)

WHOIS情報、つまり 『 そのIPアドレスやドメインの使用者の情報 』 を検索できます。
(…そのはずなのですが、なぜか私の環境ではちゃんと動かない。なぜ…)

グローバルIPアドレスを調べてみよう の記事でもお話したとおり、
IPアドレスやドメインからは個人を特定する情報は取得できませんが、
どこの国のIPアドレスで、どのプロバイダを使用しているか、
そしてそのプロバイダ会社がどこにあるか、くらいは確認することができます。

このすぐ下の項目でご説明するブラックリスト管理を使って
『 特定の相手に対して自サイトへのアクセスを禁止する 』機能を使う時に
IPアドレス、もしくはそのIPアドレスが所属するプロバイダを知る必要があります。


Blacklist Manager
(ブラックリスト管理)

指定したIPアドレスまたはユーザエージェントを持つユーザーを
自サイトに一切アクセスできないように拒否する機能。
ネットスラングで言うところの 垢バン(アカウントをBAN=禁止)的なやつです。

ここに入力したIPアドレス
ユーザーエージェント情報(この場合はプロバイダドメインやネットワーク名)を
.htaccessファイルのアクセス拒否リストに記述してくれます。

改行して1行につき1つのIPアドレスやユーザーエージェント情報を記述します。
All In One WP Security・ブラックリスト管理
WordPressサイトを運営していて、スパムや不正アクセスが来たら
コメントフォームやメールフォームから送られたメッセージのプロパティや
ログインエラー履歴の詳細欄から、IPアドレスやネットワーク名を確認して
ブラックリストに入れて対応しましょう。

ドメイン/IPアドレス サーチ 【whois情報検索】などのWEBサービスで
・IPアドレスからドメイン名を
・ドメイン名からIPアドレスを
それぞれ調べることができます。

ブラックリストを使う時の注意点

上の【 ログインのセキュリティ 】の項目でもお話したように
回線の切断・再接続などでIPアドレスは変わってしまうことがあります。
特にスマホは、Wi-Fi接続した際のIPアドレスとそれ以外の接続のIPアドレスが変わることが良くあるので
自分のログインを怪しい奴のログインと間違えてブラックリストに入れないようにご注意を。

また、しつこいスパムメールや掲示板の荒らし行為に困っていて、
相手がスマホ、PCを複数持っていたりして毎回IPアドレスを確認するのが大変!という時には
IPアドレスの範囲指定や、ドメインやネットワーク名でのブロックを検討してください。

IPアドレスの範囲指定

掲示板を荒らしている相手がスマホで、頻繁にIPアドレスが変わって
ブロックが追いつかない…という時などにおすすめなのがIPアドレスの範囲指定。

私達がネット接続するために契約している会社には、その会社ごとにIPアドレスが割り振られています。
他の会社と被って、違う人が同じIPとかになったら大変ですからね。
そのため 『 この企業のIPアドレスは上3ケタが100のことが多い 』 というような傾向があります。
※もちろん同じ上3ケタで以下の番号が違うアドレスが他社に割り振られている場合もあります。

IPアドレスが変わったとしても、ネット接続契約しているプロバイダが変わっていない限り
123.123.111.1
123.123.111.2
のように上9ケタまでは同じだったり、
123.123.111.100
123.123.100.123
のように上6ケタまでは同じ、というようなパターンになることがあります。

しばらくIPアドレスを個々にブロックしつつ、
こうしたパターンを見つけたら、まとめて範囲指定でブロックしてみましょう。

上の例で言えば上6ケタは同じで、それから先が変わっていっているため
123.123.*.*
と指定すれば、下6ケタが何であってもブロックすることができます。

プロバイダのブロック

相手のIPアドレスがいくつか判明しているのであれば、
それぞれドメイン/IPアドレス サーチ 【whois情報検索】などのWEBサービスで
プロバイダを確認すると、全て同じプロバイダになっているはずです。

スマホでもPCでも、同じ回線を使ってネット接続している限り、
契約しているプロバイダは一つで、プロバイダの接続IDも一つで変わらないはずですからね。
例えば一軒家で1階にあるPCでも2階にあるPCでもスマホでも、
家族が契約しているプロバイダで皆がネット接続していたら同じプロバイダからの接続になります。

プロバイダでブロックをかけると、そのプロバイダを使っているネット接続全てを
ブロックできるので、いちいちIPアドレスを記述する手間が省けます。
ただそれで問題なのが、同じプロバイダを使っている
不特定多数の無関係な方も巻き込んでブロックしてしまう
ということ。

ものすごくローカルな、例えば特定の市町村でのみプロバイダ契約をしている
小さな会社のプロバイダ名でブロックをかけた場合は巻き込まれる人も少なくなりますが、
ドコモ光のhikari.docomo.ne.jpや、Yahoo!BBソフトバンクのsbb.ne.jpなど、
契約者が多いプロバイダを丸ごとブロックしてしまうと、
下手をすると何万人の人が自分のサイトに入れない状態になります。

その辺りをご注意いただきつつ、
『 市町村名のついたローカルなプロバイダだからブロックしても巻き込まれる人は少ないはず 』
『 とりあえずしつこい不正アクセスが諦めるまで期間限定でプロバイダでブロックしてみよう 』
という感じで、慎重にプロバイダ接続IDでのブロックを使ってみてくださいね。

国ごとのブロック

特定の国からしつこいスパムが送られてくる、不正アクセスしようとしてくる。
そんな時は、その国からのアクセスをまるごとブロックすることもできます。

基本的にユーザーエージェントの欄に国ドメインを記述するだけです。
国ドメインの一覧はこちら⇒日本ネットワークインフォメーションセンター
国ドメインブロック

自分で.htaccessファイルを書き換えて拒否する場合は
【.htaccess】国ごとのIPアドレスでサイトアクセスを拒否するの記事をご覧ください。


Firewall
(ファイアウォール)

ファイアウォールとは、防火壁が炎の侵入を防いでくれるように
ネットワーク上の不正な通信を通過させないようにするセキュリティ機能のこと。

All In One WP Securityにもファイアウォール設定メニューがあるので
必要に応じて設定しておきましょう。
自分で.htaccessファイルを編集してセキュリティ設定する場合は
特にここで設定はしなくても良いのかも。

以下の例ではピンバック機能を無効化しています。

完全にピンバック機能を無効化する場合は【 Completely Block Access To XMLRPC 】に、
JetpackなどのXML-RPC機能を使用するプラグインをインストールしている場合は
【 Disable Pingback Functionality From XMLRPC 】の方にチェックを入れてください。
All In One WP Security ファイアウォールでピンバック無効化

ピンバック機能とは

自分のWordPressページに対して誰かがリンクを貼ったことを知らせてくれる機能。

記事を閲覧してくれた人が自分のサイトに『この記事良かったよー』とリンクを貼る
⇒ピンバックで自分に『このサイトにリンクが貼られたよ』という通知が来る
⇒ピンバックを承認すると、自サイトのリンクとして貼られた記事に相手サイトへのリンクが掲載される
⇒お互いリンクを貼っている状態になる、という流れです。

基本的にはお互いのサイトを紹介しあうための便利な機能なのですが、
悪いやつに貼られたサイトを確認で見に行ってウイルスを仕掛けられたり、
こちらのサーバーに負荷をかけるDDoS攻撃に利用されたりすることが稀にあります。
そのため、こうしたセキュリティプラグインでは
ピンバックの無効化機能を付けていることが多いです。


Brute Force
(ブルートフォースアタックへの対策)

自動プログラムで英字と数字の組み合わせを片っ端から試行して
不正ログインしようとする総当たり攻撃のことをブルートフォースアタックと呼びます。

WordPressのログインファイルは末尾が皆同じ『wp-login.php』なので、
『 https://(ドメイン名)/wp-login.php 』 がログイン画面のURLだと誰にでも分かりやすい状態です。
そのURLにやってきた自動プログラムが万が一にパスワードを突破したらログインされてしまうので、
パスワードを長めにする等の対策と合わせて
ログインURL自体も変えてしまおう、というのがこの設定項目です
All In One WP Security ブルートフォースアタック対策
他の項目でログインの制限かける設定してあるし、URL変えたら自分も面倒だから
別にいいかなー、という場合はこの設定はしなくても構いません。


SPAM Prevention
(スパム防止)

コメント欄に詐欺サイトへのURLを貼ったりする迷惑な投稿をスパムコメントと呼びます。

コメント欄を開設しているのであれば、この項目は必ず設定しておいた方が良いですね。
All In One WP Security スパム防止


Scanner
(マルウェアのスキャン)

怪しい奴に不正ログインされ、ファイルを書き換えられたことに気づけなかったら大変なので、
File Change Detection Feature(ファイル変更の検出機能)で
ファイル変更を察知しよう、という機能です。

Perform Scan Now 】:手動でファイル変更検出を実行

View Last File Change 】:最後にスキャンしたファイルの変更結果を表示

Enable Automated File Change Detection Scan 』 にチェックを入れると
定期的に自動でファイルの変更をチェックしてくれます。
※頻繁に変更が加わる可能性があるログファイルやキャッシュファイルは
『 Files/Directories To Ignore(検出から除外するディレクトリ/ファイル) 』 の欄に加えておきましょう。


Maintenance
(メンテナンスモード)

手動でメンテナンスモードに切り替えて、
ログインしている管理者以外の全ての訪問者をサイトから弾き出して閲覧させない
(メンテナンスモードの画面を表示する)状態にできます。
エラー原因の調査中や保守メンテナンス中で、
今は誰もサイトの中に入れたくない、という時などに使います。
All In One WP Security・メンテナンスモード


Miscellaneous
(その他の設定)

コピー防止やフレーム呼び出し禁止といった、その他の細々した設定。

Copy Protection

【 Enable Copy Protection 】にチェックを入れて設定保存すると、
管理者以外の訪問者のテキストコピー防止機能が有効化されます。

サイト内で
・右クリック
・テキスト選択
・コピー
これらの操作ができなくなります。

パクリサイトに著作権侵害されることを防ぐためには有効な設定ですが、
一般の閲覧者にとっては 『 右クリックメニューで画像だけを表示 』や0
『 コピーした単語を検索 』などが使えなくなり、かなり不便になってしまうので
慎重に検討してから設定しましょう。

Frame

【 Enable iFrame Protection 】にチェックを入れて設定保存すると、
他のサイトにフレームやiframe経由でコンテンツが表示されないように防止できます。

パクリサイトやアフィリエイトサイトの中には、
自サイトの中に置いたフレームと呼ばれる枠内に
自動で取得した他サイトのコンテンツを丸ごと流用して
あたかも自分のサイトのコンテンツかのように表示していることがあります。
著作権侵害の中でもなかなか悪どい奴ですね。

これを防ぐために、自サイトのコンテンツがフレーム内に呼び出されることを防止するための機能です。
とりあえずチェックを入れて有効化しておくと良いかと思います。

Users Enumeration

WordPressでは標準の管理者情報ページ(ドメイン/WordPress/?author=1 など)に
アクセスされると、管理者情報が外部から閲覧できてしまうことがあります。

【 Disable Users Enumeration 】にチェックを入れて設定保存すると、
もし閲覧可能な管理者情報ページに外部からアクセスがあっても
情報ではなく、forbidden(アクセス禁止)エラーを表示するようになります。
これもとりあえずチェックを入れて有効化しておくと良いかと思います。

WP REST API

【 Disallow Unauthorized REST Requests 】にチェックを入れて設定保存すると、
許可されていないリクエストに対するWordPress REST APIのアクセスをブロックできます。

APIはアプリケーション・プログラム・インターフェイスの略。
WordPress REST APIはリセット要求を使用するプログラム(WordPress記事の投稿など)。

管理者ユーザーがログインしていないのに投稿、編集されないようにブロックするための機能ということですね。
ただ、メールフォームプラグインなどが自動でこのAPIを使ってメール送受信を行うことがあるため、
APIを自分で修正や制御できる人以外はここは無効のままの方が良いかもしれません。

 良かったら押してみてください♥

  • このエントリーをはてなブックマークに追加
  • Pocket