SiteGuard WP Pluginは、WordPressを保護するためのセキュリティ対策プラグインです。
有効化するだけで簡単に使うことができる上、管理画面への不正ログイン防止を中心としたセキュリティを強化できるので、WordPressでの導入をおすすめします。
プラグインのインストールと有効化
- 管理画面の【プラグイン > 新規追加】を開き「SiteGuard WP Plugin」を検索
- SiteGuard WP Pluginをインストール&有効化
SiteGuard WP Pluginの機能と使い方
新しいログインページURLの確認
まず、SiteGuard WP Pluginを有効化すると下記のようなメールが届くので、そこに記載されている新しいログインページURLを確認します。
ブルートフォース攻撃やリスト攻撃など、不正にログインを試みる攻撃への対策として、通常のログインURL(https://ドメイン名/wp-login.php)が、https://ドメイン名/login_xxxxx のような独自のログインURLに変更されます。
試しに、これまでのように https://ドメイン名/wp-login.php でアクセスしてみると「ページが見つかりませんでした。」と表示されるはずです。
各種セキュリティ機能の設定
ログインURLの変更など、このプラグインを有効化するだけで、ほとんどの機能が設定されるので、デフォルトの状態でもセキュリティは強化されます。
管理画面の【SiteGuard > ダッシュボード】から、設定状況の確認や変更を行えますが、ここでは、不正ログイン防止の機能を中心に詳しく解説していきます。
管理ページアクセス制限
管理画面へのアクセスを、IPアドレスで制限する機能です。
この機能をONにすると、ログインの記録がない接続元IPアドレスの端末から /wp-admin/ にアクセスされたとき、404 Not Found(404エラー)を表示します。
この機能をONにすると、https://ドメイン名/wp-admin/ へのアクセスはできなくなるので、事前にログインページのURLを確認しておきましょう。
ログインページ変更
通常のログインURLを、https://ドメイン名/login_xxxxx(5桁の数字) に変更します。
デフォルトでONになっていますので、プラグインを有効化した時点で、新しいログインページURLが自動生成されていますが、後から任意のものに変更することもできます。
なお「管理者ページからログインページへリダイレクトしない」にチェックを入れると、/wp-admin/ でアクセスした場合に、ログインページにリダイレクトさせません。
このオプションにチェックを入れると、https://ドメイン名/wp-admin/ からログインページにアクセスできなくなるので、必ずログインページのURLを確認しておきましょう。
画像認証
ログインページやコメントページなどに、画像認証の項目を追加します。
例えば上記の場合は「ゆもあさ」と、ひらがなを入力しないとログインできないようになるので、不正なログインやコメントスパムへの対策として効果的です。
ログイン詳細エラーメッセージの無効化
ログインに関するエラーメッセージを、全て同じ内容に変更する機能です。
ユーザー名の存在を調査する攻撃への対策として、ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
エラーメッセージが「入力内容を確認の上、もう一度送信してください。」 に統一されます。
例えば「ユーザー名 xxxxx のパスワードが間違っています。」などのエラーメッセージが表示されてしまうことで、そのユーザー名の存在がバレてしまうことを防げます。
ログインロック
特に機械的な攻撃から防御するための機能で、短時間にログイン試行を繰り返す端末を、IPアドレスを元にブロックします。
ログインの失敗が指定期間中に指定回数を超えた接続元IPアドレスに対して、指定時間ログインをロックして不正なログインを防いでくれます。
ログインアラート
不正なログインに気づきやすくするための機能です。
WordPressにログインする度に、ログインユーザー(管理者)にメールで通知されるので、ログインに心当たりがない場合は、不正なログインを疑いましょう。
フェールワンス
正しいログイン情報を入力しても、あえて1回だけログインを失敗する機能です。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
あえて1回失敗させることで、不正なログインを試みる者に、万が一正しいユーザー名とパスワード情報を入力されたとしても、間違えていると思わせる効果があります。
XMLRPC防御
ピンバック機能(リンク元がリンク先に通知する機能)の無効化、または、XMLRPC(xmlrpc.php)を無効化する機能です。
ただ、XMLRPCの無効化については、使用しているプラグインによっては、その機能に支障がある場合もあるので注意が必要です。
XMLRPCを無効化すると、XMLRPCを使用したプラグインやアプリ(例えば、外部から記事を投稿するようなプログラムなど)の使用ができなくなります。
ユーザー名漏えい防御
WordPressでは https://ドメイン名/?author=1 などにアクセスすると、ユーザーの記事一覧ページにリダイレクトされますが、このページのURLからユーザーIDが推測されます。
この機能を有効化することで、https://ドメイン名/?author=1 などにアクセスしても、ユーザーの記事一覧ページにはリダイレクトされなくなります。
更新通知
WordPress、プラグイン、テーマの更新情報を管理者にメールで通知する機能です。
セキュリティの基本は、常に最新のバージョンを使用することです。
WAFチューニングサポート
WAF(Web Application FireWall)による、WordPress内での誤検知を回避するためのルールを設定するための機能です。
特別な理由がなければ、OFFのままで良いかと思います。
まとめ
SiteGuard WP Pluginは、WordPressのログインページを守り、管理画面への侵入を防ぐために有効かつ初心者でも使いやすいプラグインです。
ただ、このプラグインだけで完璧なセキュリティ対策ができるということではないので、ユーザー名は推測されにくいものに、パスワードは極力複雑にするなども意識しましょう。
や
このプラグインを有効化した時点で、https://ドメイン名/wp-login.php でのログインページへのアクセスはできなくなり、独自のログインURLでログインするようになります。
このログインURLを忘れたときのためにも、上記のメールは残しておきましょう。