SiteGuard WP Pluginとは
WordPressで作成したHPは、管理画面を通じて記事投稿や修正、プラグイン設定等を行いますが、第三者によって勝手に改ざん、個人情報の不正取得などされないように、ログイン画面でID,パスワード入力チェックしてから管理画面が利用できるようになっています。
しかし、インターネット上には、サイバー攻撃、ブルートゥース攻撃といった悪意のある第三者から攻撃を受けてしまうことがあります。
特にWordPressの初期設定のログイン画面は、比較的外部から乗っ取られやすく、私も何も対策をしていなかった初心時のときは、勝手にプラグインを操作されていた経験があります。
そこで、セキュリティー対策が必要になるわけですが、「SiteGuard WP Plugin」を利用すると、管理画面、ログイン画面を簡単に保護することが可能になります。
このソフトは日本製で、日本語表記となっているだけでなく、画像認証も日本語でできることもあり、海外から多いサイバー攻撃に対しても特に有効です。
SiteGuard WP Pluginのインストール
左メニューにある
「プラグイン」⇒「新規追加」の
検索欄に「SiteGuard WP Plugin」と入力検索。
「今すぐインストール」⇒「有効化」
をクリックします。
インストールが完了すると、画面上方に「ログインページURLが変更されました」というメッセージがでます。
(重要)
ログインページ用URLは、下記のように自動変更されています。
http(s)://サイトURL/wp-login.phpで普段アクセスしている方は、SiteGuardを有効化するとログインURLが自動的に変更されるので注意しましょう。
URLを忘れると管理画面に入れなくなるので、すぐに、「ログインページURLが変更されました」の部分をクリックし新しい管理画面で表示してすぐブックマークしましょう。
(※管理者宛てのメールに「ログインページ用URL」が届いてますので、ブックマークし忘れた方は、メールを確認して下さい。)
管理画面は、下の画像のように、文字認証が必要となるようになり、セキュリティーが強化された形になります。
wp-login.phpとwp-adminの違いについて
WordPressにアクセスすることができるURLとして、
ログイン用URL :https://ドメイン名/wp-login.php/
管理画面用URL:https://ドメイン名/wp-admin/
があります。
ログインしていない時に、管理画面用URLでアクセスしようとすると、ログイン画面がでてくるため、どちらのURLを利用しても大差はありません。
しかし、SiteGuardをインストールすると、ログイン画面用が自動で変更されてしまうため、
https://ドメイン名/wp-login.php/
は使えなくなります。
以降の設定では、このURLの違いについて理解しておくことが必要になります。
Siteguard設定後
(補足)
インストール後は、「.htaccess」ファイルに下記赤枠の部分が追記されています。
数値の部分が新しいURLの
https:// ドメイン名/login_数値/
の数値部に該当するため、ここでログイン画面へのURLを知る事もできます。
SiteGuard WP Pluginの設定
それでは、Siteguardの設定をしていきましょう。
SiteGuard Wp Pluginの設定画面は、
左メニューの
「SiteGuard」⇒「ダッシュボード」
で行います。
管理ページアクセス制限
管理ページへのアクセスを、IPアドレスによって制限する機能です。
設定を「ON」にすることで、記録のないIPアドレスからの端末から管理画面/wp-admin/にアクセスしたとき404エラーページを表示することで不正ログインを防ぎます。
WordPressを始めたばかりの方、IPアドレスの意味がわからない・FTPでサーバーの中を触れない、WiMaxなどIPアドレスが固定でない方は本機能をONにすると最悪ログインできなくなるので、自信のない方は設定OFFのままでも良いと思います。
ログインページ変更
SiteGuardをインストールすると自動でログインページ名が、
「https:// ドメイン名/login_数値/」
となりますが、/login_数値/の部分を変更できます。
(変更したら、ブックマーク忘れずに)
切り替え設定の初期設定は「ON」になっていますが、「OFF」にすると、ログインURLはインストール前の
「https://ドメイン名/wp-login.php」
に切り替わり、画像認証のない画面に戻ります。
※ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能で、「OFF」にするとセキュリティーが落ちるので設定「ON」にしておきましょう。
※オプションの「管理者ページからログインページへリダイレクトしない」にチェックを入れると、
https://ドメイン名/wp-admin/
でログイン画面に移動させなくすることができ、よりセキュリティーが高まりますが、wp-adminからログイン画面に移動できなくなるので注意が必要です。
画面認証
画像認証は、ログイン時やコメント記入における画像認証設定を行う機能で、不正ログインに対するセキュリティー機能を高めてくれます。
認証には「ひらがな」か「英数字」で行うか選択できます。
初期設定では、「ひらがな」入力で、「ON」の状態となっていますが、海外からの攻撃には「ひらがな」のほうが防ぎやすいので、「ひらがな」設定ONにしておきましょう。
ログイン詳細エラーメッセージの無効化
ログイン詳細エラーメッセージとは、ログインのときに入力不一致があった場合のメッセージ表示をあいまいにすることでセキュリティーを高める機能です。
なぜ、セキュリティー対策となるのかというと、設定していない場合のエラーメッセージだと、下記のように、ユーザーIDが特定されてしまうからです。
「エラー、ユーザID×××のパスワードが間違っています。パスワードをお忘れですか?」
設定ONに設定すると
「エラー入力内容を確認の上、もう一度送信してください。」
と表示され情報を知られる恐れがなくなりますので、設定は「ON」にしておきましょう。
ログインロック
ログインロックは、短時間に不正ログインを繰り返す端末に対して、ログインロックをかけることで管理画面への侵入を防ぐ機能です。
セキュリティーを強化してくれる機能ですので、「ON」に設定しておきましょう。
下の設定だと、「5秒間に3回ログイン繰り返したら、1分間ロックする」という内容になります。
ログインアラート
ログインアラートを設定すると、WordPressにログインがあった時、登録メール宛てに通知メールで知らせてくれるようになります。
しかし、WordPressで複数のHPを作成すると通知メールが増えてしまうので、混乱を避けたい方はOFFにしておくといいでしょう。
フェールワンス
フェールワンスとは英語で「Fail Once」のことで、「1回失敗させる」という意味です。
正しいログインをしても、故意に1回ログイン失敗させる機能で、これにより不正アクセスを防止させます。
セキュリティーを高めたいかたは「ON」にしておきましょう。
XMLRPC防御
WordPressのXML RPCとは、WordPressの管理画面からではなく、プログラムなどでWordPressの外側からWordPressをコントロールするための機能です。XMLといわれるデータ形式で通信します。
Pingback機能とは他のブログからの通知 (ピンバック・トラックバック) を受け付ける機能のことですが、最近はスパムのトラックバックやコメントが多いので、Pingback機能は無効化してしまって問題ありません。
初期状態ではONになっていますが通常は、設定ONのままで良いでしょう。
更新通知
更新通知とは、WordPress、プラグイン、テーマの新バージョンがリリースされたとき、管理者メール宛てに通知する設定です。
通知メールがたくさんくるので不要な方はOFFにしておきましょう。
WAFチューニングサポート
WAF(Web Application FireWall)はWebサーバーに対する外部からの攻撃を防ぐ機能で、Xサーバーでもサーバーパネルから設定できます。
しかし、プラグインの機能によっては、WAFが外部からの攻撃と誤検知しブロックしてしまうこともあるので、除外ルールを設定することで誤検知を防ぐこともできます。
WAFチューニングサポートは除外設定をする機能ですが、特殊な場合に使う以外必要ないので設定OFFのままでも結構です。
詳細設定
IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。
ログイン履歴
ログイン履歴を一覧で閲覧する機能です。
不正ログインがあったか疑わしいときに確認したい時などに使用しますが、設定する必要はありません。
