WEB制作者にはおなじみのWordPress。
一説には、世界の40%のサイトがWordPressで作られていると言われるほど普及したCMSです。
ただ、それだけ多くのシェアがあり、しかもオープンソースのため、多くのハッカーの標的になっています。
160万のWordPressサイトが脆弱性を狙った攻撃対象になったなんて調査があるよ
特に不正ログインなんてされた日には、乗っ取られて、もうやりたい放題されておしまいです!
そんな不正ログインからの保護に特化したプラグインが、「SiteGuard WP Plugin」です。
プラグインを入れるだけで、すぐにセキュリティを高めてくれます。
「SiteGuard WP Plug」とは?
SiteGuard WP Plugin
- プラグインを有効にするだけでセキュリティを高めてくれる。
- 安心の日本産プラグインで設定も簡単!
- 不正ログインからサイトを守れる。
- コメントスパムを防ぐことができる。
- ログインURLの変更や画像認証などでセキュリティ強化。
WordPressの管理ページとログインページへの保護に特化したプラグインです。
このプラグインを使うことで、不正ログイン、管理ページへの不正アクセス、コメントスパムなどの攻撃からWordPressを守ることができます。
さらに、日本産のプラグインなので安心。
レンタルサーバーでお馴染みのLOLIPOPでも、ワードプレスのセキュリティ対策として紹介されています。
◆今すぐ実践できる!WordPressのセキュリティ対策
https://lolipop.jp/media/wordpress-security/
しかもこのプラグイン無料です。
「SiteGuard WP Plugin」のインストール方法
インストール方法は特に説明する事もありませんが、「新規プラグインを追加」よりプラグインを追加画面へ移動。
検索欄に「SiteGuard WP Plugin」と入力することでプラグインが表示されるので、インストールしましょう。
「SiteGuard WP Plugin」を有効化する
次にプラグインを有効化しますが、ここで注意です。
プラグインを有効化すると、自動でログインURLが「login_<5桁の乱数>」へ変更されます。
プラグインを有効化すると、ログインURLが変更された旨と、ログインページへのリンクが表示されるので、そのログインURLをブックマークしておきましょう。
万が一、ブラウザを閉じてしまうなどで、ログインURLが分からなくなった場合は、WordPressに登録しているメールアドレスにもログインURLが届いているのでそちらから確認できます。
新しいログインURLを開く
新しいURLを開くと初期設定では、ひらがなでの画像認証が追加されています。
これは設定でオン・オフ可能です。
ログインする前に、URLをブックマークするのを忘れないようにしましょう。
「SiteGuard WP Plugin」の機能と設定
インストールが完了したら、「SiteGuard WP Plugin」の機能と設定を確認しましょう。
海外製のプラグインなどと比べて、設定が凄く簡単です。
サイドメニューに追加されている「SiteGuard」の項目から設定可能です。
クリックするとダッシュボードが開き、「SiteGuard WP Plugin」の11の機能と、それぞれの機能のオンオフが確認できます。
管理ページアクセス制限
24時間以内にログインしていないIPからのアクセスを遮断する機能。
この機能を有効にすると、24時間以内にログインしていないIPアドレスからの管理ページ(/wp-admin/以降)へのアクセスを遮断します。
「有効/無効」で機能のオンオフを、除外したいパスがあるなら設定して、「変更を保存」を押すだけです。
画面上部の「この機能の操作説明は こちら にあります。」をクリックすると、開発会社さんの説明ページへリンクするので、機能について確認したかったらすぐに確認できます。
(凄く分かりやすく説明してくれています。この記事いらない程に。。)
ログインページ変更
WordPressのログインURLをデフォルトのURLから変更する機能。
この機能を有効にすると、WordPressのデフォルトのログインURLを変更できます。
既に自動でログインURLが決められていますが、自分で設定することも可能です。
また、オプションの「管理者ページからログインページへリダイレクトしない」にチェックを入れると、「wp-admin」にアクセスした際にログインページへリダイレクトすることを防ぎます。
画像認証
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに画像認証を追加します。
画像認証のタイプは、ひらがな入力か、英数字入力かを選択できます。
これにより、自動ログインツールによる不正ログインを防ぐことができるでしょう。
ログイン画面で毎回入力するのが面倒なら、ここで無効にできます。
ログインページ変更
デフォルトのログイン画面でログインに失敗すると、間違っているのはユーザー名なのか、パスワードなのかがエラーメッセージで分かってしまいます。
そのメッセージを同じメッセージで統一します。
下図の通り、デフォルトのエラーメッセージでは、ユーザー名が正しいことが分かってしまいますが、この設定を有効にすると、同じメッセージになるのでどこが間違っているのかを分からなくすることができます。
ログインロック
同一接続元からのログイン試行回数を制限する機能。
この機能を有効にすると、ログイン試行回数を制限することができ、これにより、不正ログインを防ぐことができます。
ログインアラート
誰かがログインすると、ログインユーザーにメールが送信されます。
心当たりがないのにログイン通知のメールが届いたら不正ログインの可能性があります。
ログインするたびにメールが届くので私はオフにしています。
フェールワンス
「フェールワンス」機能は、正しいログイン情報を入力しても、1回だけログインが失敗するようになります。つまり、最初の1回はログインに失敗する状態が正常です。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
なんだその機能と思うかもしれませんが、もしあなたのログイン情報を手に入れた何者かが、ログインを試した際に一度失敗させることで、目くらましするといった感じです。
デフォルトでは無効です。
XMLRPC防御
XML-RPCは、WordPressの標準機能の一つで、外部からWordPressにアクセスするためのAPIです。しかし、XML-RPCはセキュリティの穴となるため、外部システムを使用して更新したいなどの希望がない限り、こちらの機能を有効にしておきましょう。
ユーザー名漏えい防御
これは私も知らなかったのですが、デフォルトの状態でWordpPressサイトのトップページURLの末尾に、「/?author=1」と入力することで、その数字に割り振られたユーザーが投稿した記事が一覧で表示され、ユーザー名も分かってしまいます。
それを防ぐ機能がこのユーザー名漏えい防御です。
一度自分のサイトで、「/?author=1」と入れてみると分かりやすいよ
更新通知
WordPress、テーマ、プラグインなどの更新があった場合にメールで通知してくれます。
私は毎日ワードプレス管理画面開いているのでオフにしていますが、必要なら有効にしておきましょう。
WAFチューニングサポート
WebサーバーにJP-Secure製WAF SiteGuard Server Editionが導入していると、正常なアクセスがWAFによって遮断されてしまう事があります。
それを回避するルールを作成する機能です。
専門用語だらけで、難しいですが、ファイアウォールによって正常が遮断されてしまう場合に、それを回避するルールを追加するといったイメージです。
WAF(ワフ)は「Web Application Firewall」の略で、「Webアプリケーションの脆弱性を悪用した攻撃」へ対するセキュリティ対策のひとつ。
ログイン履歴
ワードプレスへのログイン履歴を確認することができます。
ログインに成功したユーザーだけでなく、ログインに失敗したユーザーがいるかどうかも分かるので、不審なアクセスがあった場合確認できるでしょう。
まとめ
以上 WordPressの代表的なセキュリティプラグイン「SiteGuard WP Plugin」の解説でした。
デフォルトでのWordPressのままでは、セキュリティ的に危険なので「SiteGuard WP Plugin」を使用して対策を行いたいですね。
何よりも無料で、日本産というのがありがたいです。
入れている人も多いプラグインですので、是非一度インストールしてお試しください。