はじめに
iThemes Security(現在はSolid Securityに改名)は30以上のセキュリティ機能を持つWordPressセキュリティプラグインです。セットアップウィザードで簡単に初期設定でき、ブルートフォース攻撃対策・ファイル変更検知・デフォルトURL変更などが行えます。
症状・原因
- WordPressのデフォルト設定のままでセキュリティが心配
- ログイン試行の繰り返しを防ぎたい
- 管理画面URLを変更してボットからのアクセスを減らしたい
- ファイルが改ざんされたときにすぐ気づく仕組みが欲しい
解決手順
ステップ1:インストールと有効化
wp plugin install better-wp-security --activateステップ2:セットアップウィザードを実行する
Solid Security → セットアップ
→ サイトタイプを選択(eコマース / ブログ / ポートフォリオ等)
→ 推奨設定が自動適用されるステップ3:ブルートフォース対策を設定する
Solid Security → 設定 → ブルートフォース保護
→ 最大ログイン試行回数: 5回
→ ロックアウト期間: 30分
→ ローカルブルートフォース保護: 有効
→ ネットワークブルートフォース保護: 有効(iThemesクラウド連携)WP-CLIで現在のロックアウト状況を確認:
wp eval "global \$wpdb; \$rows = \$wpdb->get_results('SELECT host, host_count, date FROM ' . \$wpdb->prefix . 'itsec_lockouts ORDER BY date DESC LIMIT 10'); foreach(\$rows as \$r) echo \$r->host . ' (' . \$r->host_count . '回) ' . \$r->date . PHP_EOL;"ステップ4:管理画面URLを変更する(Hide Backend)
Solid Security → 設定 → 管理画面を隠す
→ 有効化: ✓
→ ログインスラッグ: my-secret-login(推奨:ランダムな文字列)
→「変更を保存」新しいログインURL: https://example.com/my-secret-login
注意: 変更後のURLを必ずメモしてください。忘れるとログインできなくなります。
# WP-CLIでログインURLを確認(ロックアウト時の回避策)
wp option get itsec_hide_backend_slugステップ5:ファイル変更検知を設定する
Solid Security → 設定 → ファイル変更検知
→ 有効化: ✓
→ スケジュール: 毎日
→ ファイルタイプのホワイトリスト: .php .js .css .html
→ メール通知: admin@example.com変更検知の手動実行:
wp eval "do_action('itsec_scheduled_file-change-check');"ステップ6:追加のセキュリティ強化
Solid Security → 設定 → システムの調整
→ XML-RPC を無効化: ✓
→ Windows Live Writer ヘッダーを削除: ✓
→ 余分なユーザーメタを削除: ✓
→ wordpressサジェスションを削除: ✓
Solid Security → 設定 → WordPress の調整
→ wp-config.php と .htaccess の書き込みを禁止: ✓
→ readme.html を削除: ✓
→ ディレクトリブラウジングを無効: ✓注意事項
- 管理画面URLを変更した場合、Googleの検索結果や古いブックマークからはアクセスできなくなります
- ロックアウトされた場合はFTPまたはWP-CLIで
itsec_hide_backend_slugオプションを確認してください - iThemes SecurityとWordFenceを同時に使用すると競合する場合があります。どちらか一方のみ使用してください
まとめ
iThemes Security(Solid Security)はセットアップウィザードで基本設定が自動化されます。重要なのは「ブルートフォース保護」「管理画面URL変更」「ファイル変更検知」の3点です。変更後のログインURLは必ず記録しておいてください。