WordPressは、管理画面へのログインURLを変更したり、reCAPTCHAを導入するなどのセキュリティ対策が必須です。H2O spaceではこれまで、「SiteGuard WP Plugin」を導入していましたが、今回「WP Cerber」に乗り換えました。
乗り換えの理由は、Nginxに移行したため
プラグインを乗り換えた理由は、運用しているウェブサーバーを Nginxに乗り換えたため。WordPressは通常、Apacheというウェブサーバーで動作することが前提とされています。プラグインの多くもこれを前提に作られていて、特に Apacheで URLの制御などを行う「.htaccess」というファイルを使うプラグインの場合、これに強く依存します。
しかし近年、動作速度の問題などから Nginxで WordPressを稼働させることが増えていて、H2O spaceも乗り換えました。すると、.htaccessが利用できなくなるため、SiteGuardが利用できなくなります。
そこで、乗り換え先のプラグインを検証し、この WP Cerberに決めました。
WP Cerberに決めた理由
筆者が Siteguardで主に利用していた機能は、次の2点です。
- ログイン画面のURLを変更する
- reCAPTCHAを導入する
個の2点を叶えられるプラグインを探していました。英語のプラグインであるため、多少設定がしにくい面はありますが、次の手順でそれぞれ設定できました。
ログイン画面のURL変更
プラグインをインストールすると、左側のメニューに「WP Cerber」という項目が追加されます。まずは、「Dashboard→Main Settings」にアクセスします。
真ん中付近に「Custom login page」という項目があるため、この「Custom login URL」に変更した後の URLを入力します。また、「Disable wp-login.php」を Onにすると「/wp-login.php」へのアクセスを防ぐことができます。
reCAPTCHAの導入
reCAPTCHAは、左側のメニューの「Antispam」メニューの「reCAPTCHA」タブで設定できます。
設定には「Site key」と「Secret key」が必要で、これは Googleの reCAPTCHAサイトで取得できます。
後は、どこで reCAPTCHAを有効にするかを設定します。筆者のサイトはコメント欄や WooCommerceは導入していないため、Login formのみ Onにしました。「Invisible reCAPTCHA」は信頼できる端末の場合は表示しないで認証ができるしくみのようです。
まだまだ細かい設定がありそうなので、引き続き調査しています。「この設定はすべし」といった内容がありましたら教えてくださいませ。