Solid Securityチュートリアル：軽量かつ多機能なセキュリティプラグイン

Solid Security（旧名：iThemes Security）は、ブルートフォース攻撃、マルウェア、不正侵入を防ぐために設計された非常に実践的なWordPressセキュリティプラグインである。アクティブインストール数は100万を超える！無料版でも多くの実用的なセキュリティ機能が提供されており、Pro版では高度な二要素認証（2FA）設定、定期的なマルウェアスキャン、Google reCAPTCHAの統合といった高度な機能が利用可能だ。最大の魅力は、WordPress初心者から熟練者まで簡単にウェブサイトのセキュリティを強化できる使いやすさである！

軽量！軽量！軽量！重要だから三回言う。Solid Securityはリソース消費が非常に少ない！一部のセキュリティプラグインがサーバー性能を大きく消費するのに対し、Solid Securityはほぼすべてのホスティングとウェブサイトに対応し、特に以下の環境に適している：

• 共有ホスティング：リソースが限られた共有ホスティングでもスムーズに動作し、低スペックサーバーの救世主である。
• 初級VPS：VPSにアップグレードしたばかりのウェブサイトでも、低リソース消費により安心して利用できる。
• あらゆるウェブサイト：個人ブログ、企業サイト、Eコマースプラットフォーム、小規模フォーラムなど、どんなタイプにも完璧に適応する。

要するに、極めて複雑な計算を必要とするウェブサイトでない限り、Solid Securityは最適なセキュリティのパートナーである！

• WordPressダッシュボードにログインし、プラグイン > 新規追加に進む。
• 検索バーに”Solid”と入力する。Solid Securityは通常、左上の最初のオプションとして表示される。 「
• 今すぐインストール」をクリックし、その後プラグインを有効化する。

データ収集：インストール後、Solid Securityはプラグイン改善のための非機密データの収集を許可するかどうかを尋ねる。この選択は機能に影響しない。

ウェブサイトの種類：ウェブサイトの種類（例：ブログ、Eコマース、個人サイト）を選択し、推奨設定をカスタマイズする。

クイックスキャン：公式の推奨に従い、ウェブサイトのセキュリティスキャンを一度実行し、現在の脆弱性をチェックする。

コアセキュリティオプション

Solid Securityは、公式に以下のように説明されている5つのコアセキュリティ機能の設定をガイドする：

• Local Brute Force（ローカルブルートフォース保護） ハッカーがパスワードを繰り返し推測するのを防ぎ、短時間での複数回の失敗後にアカウントを一時的にロックし、侵害リスクを低減する。
• Network Brute Force（ネットワークブルートフォース保護） 異なるIPからの異常なログイン試行を監視し、必要に応じてIPをブロックまたは応答を遅延させ、ネットワーク攻撃を防ぐ。
• Require Strong Passwords（強力なパスワードの強制） 大文字、小文字、数字、特殊文字を含む、少なくとも12文字のパスワードを要求し、強固な保護を構築する。
• Refuse Compromised Passwords（漏洩したパスワードの拒否） パスワードが漏洩データベースに含まれているかをチェックし、漏洩済みの場合、新しいパスワードへの変更を強制する。
• Allow Two-Factor（2FAの有効化） メールやアプリコードなどの第二の検証レイヤーを追加し、鉄壁のアカウントセキュリティを実現する。

ここでは”My Own Website”の選択が推奨される。クライアントの権限を制限する必要がある場合は、Controlled Admin AccessやUser Role Editorなどのプラグインを使用すると、より柔軟に対応できる。

ユーザーグループ：デフォルトのユーザーグループを選択すれば十分である。特別なニーズがある場合は、ダッシュボードで詳細に調整可能。

メール：メールアドレスを入力し、初期設定を完了する！

Solid Securityの強みは柔軟な設定にある。以下は、WordPressの一般的なセキュリティ懸念に対応する重要な推奨設定である：

XML-RPCはWordPressの重大なセキュリティリスクであり、ブルートフォースやDDoS攻撃に悪用されることが多い。無効化が強く推奨される！

無効化方法：

Security > Settings > WordPress Tweaksに進み、XML-RPCオプションを見つけ、Disable XML-RPCを選択する。

ウェブサイトへの影響は？

心配無用！99％のWordPressサイトはXML-RPCを必要としない。現代の機能はREST APIで実現されている。リモートでメールを使って記事を編集するような非常に特殊な機能を使用していない限り、無効化は問題ない！ 注意：Jetpackを使用している場合、XML-RPCに依存する機能があるかを確認する（最新のJetpackは主にREST APIを使用しており、影響は少ない）。

WordPressのデフォルトのバックエンドパス（https://mydomain.com/wp-admin/）は、ハッカーが必ず試みるもう一つのセキュリティ懸念である。独自のパスに変更することが推奨される！

変更方法：

Security > Settings > Hide Backendに進み、機能を有効化し、カスタムパス（例：https://mydomain.com/secret-login）を入力する。

なぜ長いパスワードに頼らないのか？

19文字以上の強力なパスワードは安全だが、バックエンドパスを変更することでハッカーに試行の機会すら与えない！これによりセキュリティが向上し、ブルートフォース攻撃時のサーバーリソースの浪費も防げる。

二要素認証（2FA）は、特に管理者アカウントを保護する最終兵器である。Solid Securityはメール2FAをサポート（適切なSMTP設定が必要）。

設定方法：

1. Security > Settings > Features > Login Securityに進む。
2. 2FAを有効化し、メール方式を選択する。
3. メールで確認コードを受け取れば、2FAの設定が完了！

Eコマースサイトの注意点：

新規顧客の登録時に2FAのプロセスが購入意欲を下げるのを防ぐため、Disable on First Loginを有効化することを検討する。

SMTP設定：

FluentSMTPなどのSMTPプラグインが正しく設定されていることを確認する。そうしないと、メール2FAのコードが届かない可能性がある。

設定が自動的に開始されない場合、ユーザー > プロフィールに進み、2FAを手動で有効化する。

メールで確認コードを受け取れば、2FAの設定が完了！

Solid Securityのツール欄（Security > Tools）は、ウェブサイトのセキュリティチェックやデータベースプレフィックスの変更など、多くの便利な機能を提供する。公式の説明はすでに詳細であるため、ここでは繰り返さないが、一つ注意が必要である：

Change Database Table Prefix： 

この機能は、デフォルトのwp_プレフィックスをランダムな値に変更し、データベースのセキュリティを強化する。しかし、Cloudwaysホストでこの機能を試したところ、サーバーがクラッシュした！幸い、Cloudwaysは自動的に復旧する。 推奨：これらの機能を使用する前に、必ずウェブサイトのバックアップを取る！

注：本記事の一部リンク（例：価格表やPro版紹介）はアフィリエイトリンクであり、本サイトに少額のコミッションをもたらす可能性があるが、価格や推奨の客観性には影響しない。

この記事の参考資料：https://solidwp.com/security/