WordPressのセキュリティが心配だから強化したいという方におすすめのプラグイン「SiteGuard WP Plugin」。
など強力なセキュリティ機能を備えた優秀なプラグイン。
この記事ではそんなSiteGuard WP Pluginの導入方法と機能をわかりやすく解説していきます。
SiteGuard WP Pluginとは?
WordPressは初期状態のままだと不正ログインやスパムコメント等から守る機能が乏しくセキュリティ面はかなり「脆弱」であり、悪意のある第三者によって大切なサイトを破壊される恐れがあります。
そんな脆弱性を取り払ってWordPress全体を保護してくれるのが「SiteGuard WP Plugin」。
そして一つのプラグインで複数の対策を投じてくれるのがSiteGuard WP Pluginの大きな特徴でこれ一つ導入しておけばスパムコメントや不正ログインから守ってくれます。
SiteGuard WP Pluginの導入方法
- 管理画面→プラグイン→「新規追加」をクリック
- 「SiteGuard WP Plugin」で検索
- SiteGuard WP Pluginを「今すぐインストール」
- 「有効化」をクリック
検索するといくつか候補が出てきますがSiteGuard WP Pluginを選び「今すぐインストール」をクリック。
インストールしただけではまだ無効なので最後に「有効化」を忘れずに押してください。
導入はこれで完了です。
SiteGuard WP Pluginの機能
SiteGuard WP Pluginには以下12個の設定項目があります。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
デフォルト(インストール直後の状態のまま)でも高い保護性能を持ちますが、必要に応じて各機能の詳細設定を行うことで更に強化することが可能です。
それぞれの機能を順番に説明していきます。
管理ページアクセス制限
ログインが行われていない接続元IPアドレスが管理ページにアクセスしようとした際に404(Not Found)のエラーページを返す設定です。管理者IP以外を立ち入り禁止にしてくれます。
未導入だと管理ページに誰でもアクセスできるので危険な状態です。
こちらの機能は常にONにしておくことを推奨します。
ログインページ変更
ログインページのURLを変更して他人から検索されにくくします。
WordPressのログインページURLは初期状態だと「https://サイト名/wp-login」のようになっておりwp-loginの部分は固定であるため、そのままURLで検索されると誰でもログインページに移動できてしまいます。
逆にwp-loginの部分を変更してしまえば検索されても存在しないページに飛ぶだけなので安心…というわけです。
注意したいのがURLが変更される=それまでのページとは別ページになるということなのでURL変更後のページのお気に入りやブックマークは改めてやっておきましょう。
URL変更の詳しいやり方はこちらの記事で説明しています↓
画像認証
ログインページやコメント投稿に画像認証を追加します。
不正ログインを試みる攻撃やbotによるスパムコメントを防ぐ効果が期待できます。
導入するとページに下の画像の赤枠部分が追加されます。
ただし管理者自身のログインや普通にコメントをしたい方にも画像認証が表示されるのでセキュリティは高まりますが少しだけ面倒になります。
ログイン詳細エラーメッセージの無効化
ログインに関するエラーメッセージを全て同一の内容にして返す機能です。
悪意のある第三者はエラーメッセージから管理者の情報を突き止めようとする恐れもあります。
例えば不正ログインをしようとしてたまたまユーザーIDが合っていてパスワードが間違ってる場合「パスワードが違います」とだけ返ってきたら「ははーん…じゃあIDは合ってたんだな」と余計な情報を与えてしまいますよね。
そのような問題を防ぐため全て共通して「ログインに失敗しました」と表示することで余計な情報を渡さずに済むというわけです。
ログインロック
ログイン実行時に指定した期間と回数を設け、それに達した場合一定時間ロックをかける機能です。
ブルートフォース(総当たり)攻撃やリスト攻撃といった悪質な不正ログインから保護してくれます。
「1秒に10回」や「5秒に3回」と指定できる期間と回数を見てもらうとわかるように人間業では到底無理な試行回数になっており、機械的な速さでログインを試行された時の対策となっています。
ログインアラート
ログインすると管理者にメールで通知がされる機能です。
不正ログインがあった場合もメールが来るのでいち早く気付くことができます。
フェールワンス
正しいログイン情報でも必ず1回ログインに失敗する機能です。
失敗した後5秒以降60秒以内に再度正しいログイン情報を入力することでログインできます。
フェールワンスは導入した本人しかわからない仕組みなので、悪意のある第三者がもしも正しいログイン情報を入力したとしても必ず一回失敗するためスルーする可能性が高くなり不正ログイン防止になります。
XMLRPC防御
ピンバック機能(WordPressサイト同士の場合に限り外部リンクを貼った際外部リンクの管理者に通知が行く仕組み)またはXMLRPC(xmlrpc.php)を無効化し悪用を防ぎます。
ちょっと聞かない言葉が連続していて戸惑う方もいらっしゃるかと思いますが、ここでは脆弱性が高くなりがちな仕組みやファイルと捉えて頂ければOKです。
XMLRPCに興味がある方はこちらのリンクがわかりやすいので覗いてみて下さい↓
更新通知
WordPress、プラグイン、テーマの各更新があった際にメールで通知してくれます。
こちらはセキュリティというより便利機能といった感じ。
オンにしておくとその都度メールで受取れるのでいち早くアップデートに気付くことができます。
WAFチューニングサポート
ウェブサーバにWAF(SiteGuard Lite)が導入されている場合に誤検知を回避するルールを作成できる機能です。
正常アクセスでもエラーが出てしまう場合などを回避するために用いられます。
こちらは専門的な知識が必要な設定となるため、よくわからなければオフでも構いません。
詳細設定
IPアドレスの取得方法を設定できます。通常はリモートアドレスにチェックを入れます。
リモートアドレスで取得できない場合はX-Forwarded-ForからIPを取得できます。
こちらの機能も基本的にそのままでOKです。
ログイン履歴
ログイン履歴を確認する機能です。
日時、結果(成功、失敗、ロック、フェールワンスのどれか)、ログイン名、IPアドレス、タイプの一覧を見ることができます。
身に覚えのないログインがあった時はまずここで怪しいIPアドレスが無いか確認するようにしましょう。
SiteGuard WP Plugin:まとめ
セキュリティ対策のプラグインはいくつかありますがその中でもSiteGuard WP Pluginは扱いやすく導入も楽でセキュリティ性能も高く非常に評判が良いです。
たくさんの機能があるため混乱してしまう方もいるかもしれませんが、とりあえず「管理ページアクセス制限」と「ログインページ変更」の2点を行うだけでも防御性能が格段にアップするので是非設定してみてくださいね。
コメント