※ 本記事は広告を利用しています
WordPressは、インストールしたデフォルト段階では、セキュリティ的に強いとは言えません。
そこで、WordPressの管理画面・ログイン画面を保護するための無料プラグイン「SiteGuard WP Plugin」の導入をおすすめします。
今回は、「SiteGuard WP Plugin」の設定方法と使い方について解説していきます。
目次
セキュリティ対策プラグイン「SiteGuard WP Plugin」とは
WordPressの管理画面やログイン画面は、悪意ある第三者から攻撃を受けてしまうことがあります。(※ 特にデフォルトで運用している場合は、特に危険です。)
仮に管理画面にログインされてしまった場合、サイトの改ざんや個人情報の不正取得などの被害にみまわれることがあります。それらを、防ぐために対策が必要なのですが、「SiteGuard WP Plugin」は簡単に設置でき、WordPressの管理画面・ログイン画面を保護することが可能です。
「SiteGuard WP Plugin」の主な機能
- 不正ログインの防止
- 管理ページ(/wp-admin/)への不正アクセスの防止
- コメントスパムの防止
「SiteGuard WP Plugin」をインストールするメリット
- 管理画面・ログイン画面のセキュリティを守るために1つだけでなく複数の対策ができる
- インストールしたからといって重くなるということはありません
- 無料なので、利用にあたって一切費用はかからない
「SiteGuard WP Plugin」をインストールし、セキュリティを向上させ、不正ログインの防止やWebページの改ざん、スパムなどを防ぎましょう。
セキュリティ対策プラグイン「SiteGuard WP Plugin」のインストール
まずは、「SiteGuard WP Plugin」をインストールしましょう。
インストールは、WordPressの管理画面からプラグインを検索しインストールするか、「SiteGuard WP Plugin」サイトから、プラグインをダウンロードしアップロードするか、になります。
WordPressのプラグインから検索し、インストールする方法
まずは、管理画面で、「プラグイン」⇒「新規追加」を選択します。
その後、「Site Guard WP Plugin」を検索し、「今すぐインストール」を実行し、有効化してください。
以上で、Wordpressのプラグインから検索し、インストールする方法は終了です。
「SiteGuard WP Plugin」サイトから、プラグインをダウンロードしアップロードする方法
まずは、下記サイトにアクセス。
ダウンロードを押すと「zipファイル」がダウンロードできます。
ダウンロードしたファイルを、管理画面の「プラグイン」⇒「プラグインのアップロード」を押すと「zipファイル」がアップロードできますので、そこからアップロードしてください。
その後、有効化してください。
以上で、「SiteGuard WP Plugin」サイトから、プラグインをダウンロードしアップロードする方法は終了です。
※ 管理画面からアップロードできない場合は、FTPから「プラグインディレクトリ」に直接アップロードしてください。
セキュリティ対策プラグイン「SiteGuard WP Plugin」の基本的な設定
「SiteGuard WP Plugin」は有効化するだけで、基本機能が勝手に有効化されますので、ご注意ください。
なかでも特に注意が必要なのは、プラグインの機能によって管理画面のログインURLが、変更される点にはご注意ください(下記画像参考)。
- 導入前: http://お使いのドメイン/wp-login.php/
- 導入後 http:// お使いのドメイン/login_**/
※「**」にはランダムな数字(乱数)が入ります。URLを忘れてしまうと、管理画面へアクセスできなくなってしまいますので、ブックマークするか、どこかに保存しておきましょう。
導入後、「siteGuard」⇒「ダッシュボード」は下記のようになっています。
各種設定の説明をしていきます。
管理画面のアクセス制限をする
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。
ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。
24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
<参考>
ログインURLを変更する
WordPress管理画面のログインURLを変更する機能です。
「SiteGuard WP Plugin」をインストールした時点で自動的にURLが変更されていますが、このページで設定を解除することもできます。
また、任意の文字列へ再変更することもできます。
「管理者ページからログインページへリダイレクトしない」をチェックすると、ログインしていない状態で/wp-admin/にアクセスした場合に404 Not Foundとなり、変更されたログインページにリダイレクトされなくなります。
<参考>
画像認証機能の設定
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
画像認証とは管理画面へログインしたりコメントを投稿したりする際に、画像に表示された文字列を入力することを必須とする機能です。
WordPress管理画面への攻撃は、ボットと呼ばれる自動ブログラムによって行われることが多くなっていますが、ボットは画像の文字列を判別できないため、画像認証による対策は有効です。
また画像の文字列を日本語にすることによって、海外の攻撃者に攻撃させづらくする効果もあります。
<参考>
ログイン詳細エラーメッセージの無効化
ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になりますので、「ユーザー名」「パスワード」「画像認証」のどれを間違えても同じエラーメッセージを表示します。
これが、なぜセキュリティ対策になるのか?
WordPressのデフォルトでは、ログイン時に「ユーザーID」を間違うと「ユーザーID」が違うと出ます。また、「パスワード」が間違っていたら「パスワード」が違いますよと、親切にエラーメッセージを表示させてしまいます。
これらが、不正ログインのヒントにもなってしまいますので、「ログイン詳細エラーメッセージの無効化」をONにすることでエラーメッセージからログイン情報を把握できなくします。
<参考>
ログインロック
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
ログインロックは、短時間にログイン試行を繰り返す端末に対して、IPアドレスを元にログインロックする機能です。
不正ログインを防ぐセキュリティ機能を上げる効果があります。
<参考>
ログインアラート
不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。
サブジェクトとメール本文には、次の変数が使用できます。(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)XML-RPCによるアクセスは通知されません。
ログインアラートは、WordPressにログインがあるたびにログインユーザー(管理者)にメールが送信される機能です。(権限のカスタマイズしている場合は、その権限にも送信できます)。
ログインのたびに、メールが通知されますので、不要な方は「OFF」にしてもよいかもしれません。
<参考>
フェールワンス
リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
フェールワンスを「ON」にしていると正しいログインをしても、一度ログインが失敗します。
「Fail Once(一回失敗)」機能という意味です。セキュリティを更に、あげたいという方向けの機能です。
<参考>
XMLRPC防御
Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
XMLRPC防御は、ピンバック機能(リンク元がリンク先に通知する機能)の無効化、または、XMLRPC( xmlrpc.php )を無効化する機能です。
ピンバック機能は、スパムも多いので、「ON」にしておくとよいでしょう。
- WordPressのXML RPCとは、WordPressの管理画面からではなく、プログラムなどでWordPressの外側からWordPressをコントロールするための機能です。
- XMLといわれるデータ形式で通信します。
- 外部プログラムから投稿などを行う場合に使用されることが多いので、Wordpressの投稿を外部サービスなどで投稿している方などは、「OFF」にしておきましょう。
<参考>
更新通知
セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
更新通知とは、WordPress本体、プラグイン、テーマの新しいバージョンがリリースされたときに管理者にメール通知する機能です。
WordPressの更新内容が、どのような内容かがわからない方は、受け取らない方がよいかもしれません。安易にWordPressやプラグインの「更新」をしてしまうと、ホームページにエラーコードが出たり、見れなくなったりします。
環境や状況に合わせて「ON」「OFF」を検討しましょう。
<参考>
AFチューニングサポート
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
WAFチューニングサポートとは、WAF(Web Application FireWall)の除外設定をする機能です。
基本的には、「OFF」で良いかと思います。
- レンタルサーバーでWAF設定を有効化されている場合に、まれに誤検知で意図せずWAFによるエラー(403エラー)が起きる場合、プログラムごとに除外設定を行うことができる機能です。
<参考>
詳細設定
IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。
Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。
レベルは、X-Forwarded-Forの値の右端から何番目かを表します。
詳細設定は、IPアドレスの取得方法を設定する機能です。
通常は「ON」の「リモートアドレス」のままで大丈夫です。
<参考>
ログイン履歴
ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。
履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。
ログイン履歴は、ログインした履歴を一覧で閲覧する機能です。
ログイン履歴を閲覧できますので、不正ログインなどを確認できます。
- 日時:ログインを試みた日時
- 結果:ログインに成功したか失敗したか
- ログイン名:ログインに使われたアカウント名
- IPアドレス:ログインを試みた接続元のIPアドレス
- タイプ:アクセス先のページ。※WordPressログイン画面なら、タイプは「ログイン画面」
ログインに失敗した場合には、「結果」に失敗と表示されます。一方、管理画面へのログインが成功した場合には、結果に「成功」と表示されます。
万が一、結果に「成功」とあるログインに関して覚えがない場合、表示されているIPアドレスからの不正な攻撃に成功してしまっている可能性がありますので、「パスワードを変更する」「改ざんが行われた形跡がないか確認する」などの対応をしてください。
<参考>
セキュリティ対策プラグイン「SiteGuard WP Plugin」導入時の注意点
「SiteGuard WP Plugin」を有効にすると、デフォルトで管理画面のURLが変更されます。大きくは下記の2つです。
- 「/wp-login.php」にアクセスできない
- 「/wp-admin.php」にアクセスできない
このような場合は、下記を参考にしてみてください。
「/wp-login.php」にアクセスできない
「wp-login.php」とは初期状態のWordPressのログインURLです。
「SiteGuard WP Plugin」を有効化すると、ログインURLが変更されますので、変更されたURLにアクセスしましょう。仮に、「/wp-login.php」にアクセスしようとすると「ページが見つからない」というようなエラー表示がでます。
「/wp-admin.php」にアクセスできない
「wp-admin.php」のURLへアクセスすると、ログインがすんでいる状態であればそのまま管理画面へ推移しますが、ログインされていない状態であればログイン画面へ遷移します。
これらの最も簡単な解決策は、ブックマークしておいた変更後のログインURLへアクセスすることです。変更後のログインURLからログインを実施することで、上記問題を両方解決できます。
ログインURLを忘れてしまった場合は?
「SiteGuard WP Plugin」を有効化し、変更されたログインURLを忘れてしまったということがあります。
ログインURLが分からなければ、管理画面へアクセスすることができませんので、致命的です。
対応策
- FTPソフトで、WordPressがインストールされたディレクトリにアクセスします。
- 「.htaccess」ファイルを見ることによってログインURLを確認することが可能です。
まとめ
「SiteGuard WP Plugin」は、WordPressの管理画面・ログイン画面のセキュリティを高めるために有効なプラグインです。料金がかからない上に、設定も難しくありません。
ただ、用途や重要度に応じてもっと厳しく設定する必要がある場合もありますので、導入後、検討してみてください。
