どうも、こうすけ(@kosuke_upd)です。
今回は、WordPressのセキュリティを強化するプラグイン「SiteGuard WP Plugin」の使い方と設定方法を解説します。全機能を一つひとつ紹介し説明していきます。
「SiteGuard WP Plugin」はセキュリティ対策のためのプラグインですが、主にブルートフォースアタック(総当たり攻撃)からサイトを守るためのものです。
ブルートフォースアタック(総当たり攻撃)とは、パスワードを突破するための手法の一つであり、理論的に考えうるパスワードをコンピュータの力を利用して一文字ずつ変えながら試してパスワードを突破する手法です。
原始的な手法ですが、時間をかければいつかは突破できる確実性を持った攻撃です。
そんなブルートフォースアタックの対策を簡単にできる「SiteGuard WP Plugin」の使い方を丁寧に説明していくので、セキュリティ対策のためにもぜひ参考にしながら導入してみてください。
「SiteGuard WP Plugin」とは:全機能を簡単に紹介
先程も述べたように、「SiteGuard WP Plugin」は主にブルートフォースアタックからサイトを守るためのWordPressプラグインです。
このプラグインには以下の機能があります。
機能1. 管理ページアクセス制限
許可していない接続元(IPアドレス)からの管理ページへのアクセスを制限する。
機能2. ログインページ変更
ログインページのURLを変更する。
機能3. 画像認証
ログインページ、コメント投稿に画像認証を追加する。
機能4. ログイン詳細エラーメッセージの無効化
ログインエラー時のエラーメッセージを詳細なものから単一なものに変更する
機能5. ログインロック
ログインエラーを繰り返す接続元(IPアドレス)を一定期間ロックする。
機能6. ログインアラート
ログインがあったときに指定したメールアドレス宛に通知が送られる。
機能7. フェールワンス
正しい入力を行なっても、わざと一回ログインエラーとする。
機能8. XMLRPC防御
XMLRPCの悪用を防ぐ。
機能9. 更新通知
WordPress、WordPressプラグイン、WordPressテーマの更新があった際にメールで通知する。(WordPressプラグイン、WordPressテーマについては対応しているもののみ)
機能10. WAFチューニングサポート
WAF(SiteGuard Lite)の除外リストを作成する。
これらの詳細とともに、「SiteGuard WP Plugin」の使い方と設定方法を見ていきましょう。
「SiteGuard WP Plugin」の使い方と設定方法
手順1. 「SiteGuard WP Plugin」のインストール・有効化
まずは「SiteGuard WP Plugin」をインストール、有効化しましょう。プラグインの新規追加画面にて「SiteGuard WP Plugin」と検索すると出てきます。
手順2. 各機能の設定
「SiteGuard WP Plugin」の導入が完了すると、管理画面サイドバーに「SiteGuard WP Plugin」の項目が表示されます。たくさんの設定項目がありますが、一つずつ説明していきます。
手順2−1. ダッシュボード
まずはダッシュボードを見てみましょう。
ダッシュボードでは、「SiteGuard WP Plugin」の各機能の設定状況を確認できます。各機能の簡単な説明とともに、どの機能が有効になっており、どの機能が無効になっているかを確認できます。
手順2−2. 管理ページアクセス制限
「管理ページアクセス制限」は、管理ページへアクセスできる接続元IPアドレスを制限できる機能です。
ON / OFFで機能の有効化・無効化を選択でき、もし有効化したとしても「除外パス」という項目に記載したパスには接続元IPアドレス関係なくアクセスできます。
手順2−3. ログインページ変更
「ログインページ変更」は、ログインページのURLを任意のものに変更できる機能です。
通常、WordPressサイトのログインページは https://ドメイン名/wp-login.php というURLなので、容易にログインページを推測できます。しかし、この機能を有効化し、ログインページのURLを任意のものに変更することによりログインページのURL>を推測されづらくできます。
ただし、ログインページのURLを変更後は、ログインページのURLを忘れないようにブックマークするなどしておきましょう。
手順2−4. 画像認証
「画像認証」は、ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに画像認証機能を追加できる機能です。
ログイン時やコメント時などに画像認証が必要となるため、コンピュータによる不正ログインやスパムコメントを防ぐことができます。
例えばこちらはログインページですが、ユーザー名、パスワードの他に画像認証も必要となります。
手順2−5. ログイン詳細エラーメッセージの無効化
「ログイン詳細エラーメッセージの無効化」は、ログインエラー時のエラーメッセージを詳細なものから単一なものに変更する機能です。
デフォルト状態では、ログイン失敗時にどこが間違っているのかを教えてくれるエラーメッセージが出ますが、それだと不正ログインされやすくなります。しかし、この機能をオンにすることで、エラーメッセージを単一なものにでき、不正ログインされづらくできます。
手順2−6. ログインロック
「ログインロック」は、指定期間中に指定回数ログイン失敗した接続元IPアドレスを指定期間ブロックする機能です。
この機能をオンにすることで、コンピュータによる攻撃を受けにくくすることができます。
手順2−7. ログインアラート
「ログインアラート」は、管理画面にログインがあった際に、管理者のメールアドレス宛に通知が送信される機能です。
この機能をオンにすることで、不正ログインにいち早く気づくことができます。
手順2−8. フェールワンス
「フェールワンス」は、正しいログイン情報にてログインしようとしても、わざと一回ログイン失敗とする機能です。
この機能をオンにすることで、どのログイン情報が正しいものか他人にバレづらくし、不正ログインされづらくできます。
手順2−9. XMLRPC防御
「XMLRPC防御」は、XMLRPCの悪用を防ぐための機能です。
この機能をオンにすることで、XMLRPCの悪用を防ぐことができますが、XMLRPCを使用したプラグインやアプリは使用できなくなります。そのため、支障がある場合は機能をオフにしておきましょう。
手順2−10. 更新通知
「更新通知」は、WordPress、WordPressプラグイン、WordPressテーマの更新があった際にメールで通知してくれる機能です。
WordPress、WordPressプラグイン、WordPressテーマを最新バージョンにしておくことはセキュリティの基本です。この機能をオンにしてサイトを常に最新の状態に保てるようにしましょう。
WordPressプラグイン、WordPressテーマに関しては、対応しているもののみ更新通知が届きます。
手順2−11. WAFチューニングサポート
「WAFチューニングサポート」は、WebサーバーにJP-Secure製のWAF(SiteGuard Lite)が導入されているときに、WordPress内での誤検知を回避するためのルールを作成する機能です。
WebサーバーにJP-Secure製のWAF(SiteGuard Lite)が導入されていない場合は、この機能はオフにしておきましょう。
手順2−12. 詳細設定
「詳細設定」では、IPアドレスの取得方法を設定できます。通常は「リモートアドレス」を選択しておけばOKです。
手順2−13. ログイン履歴
「ログイン履歴」では、ログイン履歴を参照できます。いつ、どのユーザー名で、どのIPアドレスから、どのタイプでログインがあり、その結果ログインが成功したか失敗したかの履歴が残ります。
もし不正ログインされなかったとしても、不正ログインを試みたアクションがあった場合もここに履歴が残ります。
「SiteGuard WP Plugin」を使用してセキュリティ対策をしよう
今回は、WordPressプラグイン「SiteGuard WP Plugin」の使い方と設定方法を解説しました。
「SiteGuard WP Plugin」を使用することにより、ブルートフォースアタックなどの攻撃を受けづらくし、攻撃があった際に不正ログインされづらくし、もし不正ログインがあったとしてもいち早くそれに気づくことができます。
セキュリティを大幅に強化できるプラグインなので、もしセキュリティ対策をしっかりしていない場合はぜひ使ってみてください。
\ 記事が良かったらシェア! /
