=== CloudSecure WP Security === Contributors: cloudsecure Tags: security, login lock, brute force, anti-spam, waf Requires at least: 5.3.15 Tested up to: 6.9 Stable tag: 1.4.8 License: GPLv2 or later License URI: http://www.gnu.org/licenses/gpl-2.0.html 管理画面とログインURLをサイバー攻撃から守る、国産・日本語対応のセキュリティ対策プラグインです。 かんたんな設定を行うだけで、不正アクセスや不正ログインからあなたのWordPressを保護します。 == Description == 管理画面とログインURLをサイバー攻撃から守る、安心の国産・日本語対応プラグインです。 かんたんな設定を行うだけで、不正アクセスや不正ログインからあなたのWordPressを保護し、セキュリティが向上します。 また、各機能の有効・無効(ON・OFF)や設定などをお好みにカスタマイズし、いつでも保護状態を管理できます。 ドキュメントやFAQなど、より詳細な情報は [こちら](https://wpplugin.cloudsecure.ne.jp/cloudsecure_wp_security) でご覧いただけます。 * WordPressのマルチサイト機能には対応していません。 * WebサーバーのApache1.3、2.xにのみ対応しています。 * 画像認証追加機能を利用するためには、PHPに拡張ライブラリ「gd」をインストールする必要があります。 * 管理画面アクセス制限機能、ログインURL変更機能を利用するためには、Apacheに「mod_rewrite」を読み込む必要があります。 本プラグインの機能は以下のとおりです。 = ログイン無効化 = 指定した期間内に指定した回数ログインに失敗した場合、指定した時間ログインを無効化(ブロック)します。 ブルートフォースアタックやパスワードリスト攻撃など、不正なログインを試みる攻撃を防ぐための機能です。 とくに、自動化された攻撃に有効です。 = ログインURL変更 = ログインURL(wp-login.php)を変更します。 半角英小文字、半角数字、ハイフン、アンダースコアのいずれかを使用し、4文字以上12文字以下でお好みの名前(文字列)に設定できます。 ブルートフォースアタックやパスワードリスト攻撃など、不正なログインを試みる攻撃を受けにくくするための機能です。 = ログインエラーメッセージ統一 = ログイン時、ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示します。 ユーザー名の存在を調査する攻撃を受けにくくするための機能です。 = 2段階認証 = ログイン時、ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。 利用するには、[Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) アプリケーションでデバイスを登録する必要があります。 アプリケーションに表示された6桁の認証コードをログイン画面で入力し、すべての情報が一致すればログインできます。 ユーザー名やパスワードを不正入手した第三者によるログインやなりすましを防止し、セキュリティを強化します。 = 画像認証追加 = 画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにする機能です。 ログインフォーム、コメントフォーム、パスワードリセットフォーム、ユーザー登録フォームに設定できます。 ブルートフォースアタックやパスワードリスト攻撃などの不正なログインを試みる攻撃や、悪意のあるプログラムからの機械的な不正アクセスを防止する機能です。 = ユーザー名漏えい防止 = 「?author=数字」アクセスによるユーザー名の漏えいを防止します。 = XML-RPC無効化 = XML-RPC機能、またはピンバック機能を無効化し、その乱用から管理画面を保護します。 = REST API無効化 = REST APIを無効化し、その悪用から管理画面を守ります。 = 管理画面アクセス制限 = 管理画面にログインしていない接続元IPアドレスから管理ページ(/wp-admin/以降)にアクセスすると、404エラー(Not Found)を返します。 24時間以上管理画面にログインしていない接続元IPアドレスが対象です。 ログインすると接続元IPアドレスが記録され、管理画面にアクセスできるようになります。 この機能を除外するページ(wp-admin以下)を指定できます。 = 設定ファイルアクセス防止 = WordPressのシステムに関するファイルへの不正アクセスを遮断する機能です。 = シンプルWAF = WordPressへの攻撃に対して、基本的な防御機能を備えたシンプルなWAF(Web Application Firewall)機能です。 SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を遮断します。 = ログイン通知 = ログインがあったとき、ユーザーにメールで通知します。 心当たりのないメールを受信した場合、不正なログインを疑ってください。 = アップデート通知 = WordPress、プラグイン、テーマの更新が必要になったとき、WordPressの管理者ユーザーにメールで通知します。 更新の確認は24時間ごとに行われます。 常に最新版を使用することが、セキュリティの基本です。 = サーバーエラー通知 = サーバーエラー「HTTPステータスコード500(Internal Server Error)」が発生したとき、エラーの履歴を記録し、WordPressの管理者ユーザーにメールで通知します。 1時間以内に同じタイプのエラーが発生した場合、エラーの履歴は記録しますが、メールでの通知は行いません。 = ログイン履歴 = 管理画面にログインした履歴を表示します。 それぞれの項目で絞り込んでの検索も可能です。 ログイン通知と同様、不正なログインの気づきを促す機能です。 == Installation == = WordPressダッシュボード = 1.WordPressダッシュボードの「プラグイン」メニューから「CloudSecure WP Security」を検索してインストールしてください。 2.WordPressダッシュボードの「プラグイン」メニューからプラグインを有効化してください。 = WordPress.orgのプラグインディレクトリ = 1.「CloudSecure WP Security」を検索してダウンロードしてください。 2.WordPressダッシュボードの「プラグイン」メニューからダウンロードしたZIPファイルをアップロードしてインストールしてください。 3.WordPressダッシュボードの「プラグイン」メニューからプラグインを有効化してください。 == Frequently Asked Questions == [CloudSecure WP Security FAQ](https://wpplugin.cloudsecure.ne.jp/cloudsecure_wp_security/faq.php) == Changelog == = 1.4.8 = * XML-RPC経由でのログイン時に2段階認証をバイパスできる脆弱性を修正 * 軽微な修正 = 1.4.7 = * ダッシュボードの機能表示をカテゴリ別に整理 * サーバーエラー通知機能のメール送信先をすべての管理者ユーザーに変更 * 画像認証追加機能の認証画像サイズを変更 * 軽微な修正 = 1.4.6 = * 軽微な修正 = 1.4.5 = * 画像認証追加機能の認証方法を強化 * 軽微な修正 = 1.4.4 = * 画像認証追加機能に関する不具合を修正 = 1.4.3 = * 事業移管のため作者情報をエックスサーバー株式会社に変更 = 1.4.2 = * 軽微な修正 = 1.4.1 = * 軽微な修正 = 1.4.0 = * 2段階認証機能にメール認証およびリカバリーコードの追加 * 2段階認証によるログインのセキュリティ強化 * 軽微な修正 = 1.3.24 = * 軽微な修正 = 1.3.23 = * 軽微な修正 = 1.3.22 = * 2段階認証に関する軽微な修正 = 1.3.21 = * WordPress6.9をサポート = 1.3.20 = * 設定ファイルアクセス防止機能に関する不具合を修正 * 軽微な修正 = 1.3.19 = * 軽微な修正 = 1.3.18 = * 軽微な修正 = 1.3.17 = * 2段階認証機能に関する不具合を修正 = 1.3.16 = * 軽微な修正 = 1.3.15 = * サービスのロゴをリニューアル = 1.3.14 = * 軽微な修正 = 1.3.13 = * 「ユーザー一覧」ぺージにおいて、二段階認証の有効/無効を表示する機能を追加 * 軽微な修正 = 1.3.12 = * WordPress6.8をサポート * 軽微な修正 = 1.3.11 = * 軽微な修正 = 1.3.10 = * 軽微な修正 = 1.3.9 = * WordPress6.7をサポート * 軽微な修正 = 1.3.8 = * 軽微な修正 = 1.3.7 = * .htaccessの内容が変更され、該当機能が無効になった場合にお知らせする機能を追加 * MySQL5動作環境におけるサーバーエラー通知の履歴に関する不具合を修正 * MySQL5動作環境におけるシンプルWAFの検知履歴に関する不具合を修正 = 1.3.6 = * 軽微な修正 = 1.3.5 = * 軽微な修正 = 1.3.4 = * 軽微な修正 = 1.3.3 = * 軽微な修正 = 1.3.2 = * 軽微な修正 = 1.3.1 = * 新機能「シンプルWAF」を追加 * 新機能「設定ファイルアクセス防止」を追加 * 動作環境外のPHPバージョンに対して、本プラグインのインストールと更新を制限 * 軽微な修正 = 1.2.7 = * WordPress6.6をサポート * PHP7動作環境におけるサーバーエラー通知機能に関する不具合を修正 * 軽微な修正 = 1.2.6 = * ログインURL変更機能に関する不具合を修正 = 1.2.5 = * 軽微な修正 = 1.2.4 = * 軽微な修正 = 1.2.3 = * 軽微な修正 = 1.2.2 = * 軽微な修正 = 1.2.1 = * 軽微な修正 = 1.2.0 = * WordPress6.5をサポート * ログイン無効化の無効時間を追加(600秒、3600秒) * 軽微な修正 = 1.1.3 = * 軽微な修正 = 1.1.2 = * 軽微な修正 = 1.1.1 = * 軽微な修正 = 1.1.0 = * 2機能を追加(2段階認証、サーバーエラー通知) = 1.0.2 = * 軽微な修正 = 0.9.0 = * テストリリース