こんにちはZIGです。
今回はワードプレスのプラグイン「SiteGuard WP Plugin」の使い方についてまとめます。
SiteGuard WP Pluginはワードプレスの不正ログイン対策に非常に有効なプラグイン。セキュリティ対策をしっかりしておきたい!という方はぜひ導入を検討してみてください。
SiteGuard WP Pluginで出来る事
SiteGuard WP PluginはワードプレスのログインページURLを変更したり、ログインページに画像認証機能を追加する・ログインに失敗したIPをロックするといった設定を追加することが出来るプラグインです。
デフォルト状態よりもワードプレスのセキュリティレベルを上げることが出来るので、不正ログインやブルートフォースアタックが心配!という方は導入しておくと良いプラグインですね。
というわけでSiteGuard WP Pluginのインストール手順と各種設定について以下にまとめていきます。
SiteGuard WP Pluginのインストール
SiteGuard WP Pluginのインストールはワードプレスの管理画面「プラグイン」⇒「新規追加」を選択。
「SiteGuard WP Plugin」と検索すれば見つかります。
見つけたら「今すぐインストール」⇒「有効化」ですね。
インストールするとログインURLが変更された旨の表示が管理画面に表示されます。
この時点でログインURLがデフォルトの「https://ドメイン名/wp-login.php」から変更になっているので、忘れずブックマークしておきましょう。
忘れてしまうと自分がログインできなくなってしまいます。
SiteGuard WP Pluginの設定
SiteGuard WP Pluginを有効化すると、管理画面のメニューに「SiteGuard」が追加されます。
設定を編集したい場合はこちらをクリック。
するとSiteGuard WP Pluginの管理画面が表示されます。
設定・確認できる項目は以下の通り。
[box class=”yellow_box” title=”SiteGuard WP Plugin設定項目”]
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログインページ詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- ユーザー名漏洩防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
[/box]
ひとつずつ解説して行きます。
設定項目1:管理ページへのアクセス制限
管理ページ(管理画面)へのアクセスを制限する機能で、デフォルトではオフになっています。
SiteGuard WP PluginをインストールするとログインページURLが変更されるわけですが、実はこの状態でも「https://ドメイン名/wp-admin/」にアクセスすると変更したログインページURLへリダイレクトされてしまい、ログインページURLがバレてしまいます。
これではログインページURLを変更した意味がありませんよね(汗
その対策として、「https://ドメイン名/wp-admin/」にアクセスした際に404エラーを返すように設定できるのがこの機能。
なのでオンにしておくと良いです。
設定項目2:ログインページの変更
ログインページのURLを変更する事が出来る設定で、デフォルトでオンになっています。
通常、ワードプレスのログインURLは「https://ドメイン名/wp-login.php/」ですが、SiteGuard WP Pluginを有効化すると「https://ドメイン名/login_12345/」といったURLに変更になります。
末尾の5桁の数字はランダムに設定されるのですが、この部分は設定画面で更に難解にも設定できるので、ここを設定しておけばそもそもログインページに辿りつけない状態にできるってわけですね。
設定項目3:画像認証
ログインページ・コメントページ・パスワード確認ページ・ユーザー登録ページに画像認証を追加する設定で、デフォルトでオンになっていいます。
ログインページだけではなくコメントフォームにも画像認証を追加できるので、不正ログインだけではなくスパムコメントにも有効。
機械的な不正ログイン(ブルートフォースアタック)やスパムコメントは海外方のものがほとんどなので、画像認証をひらがなにしておくだけでもある程度安全性は上がります。
なので、そのままオンにしておくと良いでしょう。
設定項目4:ログイン詳細エラーメッセージの無効化
ログインを失敗した際のエラーメッセージをすべて同じにする設定で、デフォルトでオンになっています。
通常、ワードプレスはログインに失敗すると「ユーザー名が違います」「パスワードが違います」といった表示が出ます。これは逆に言えば「ユーザー名(またはパスワード)は合ってるよ」と言ってるようなもので、ハッキリ言ってリスクもあります。
それを防ぐため、エラーメッセージをすべて同一のものに変更してくれるわけです。
なのでオンにしておくと良いでしょう。
設定項目5:ログインロック
連続してログインを失敗した際に該当IPをログインできなくする機能で、デフォルトでオンになっています。
これは機械的な不正ログイン(ブルートフォースアタック)に対して有効な機能なので、オンにしておくと良いですね。5秒の間に複数回ログインを失敗するなんてことは通常はあり得ないことなので(笑
設定項目6:ログインアラート
ワードプレスにログインした際にワードプレスに設定されているメールアドレスに通知を送る機能で、デフォルトでオンになっています。
自分がログインしていないのにメールが届いたら不正ログインを疑うことができるので、オンにしておくのが基本。いちいちログインのたびにメールが届くのがちょっと煩わしい気もしますが、安全を考えればそこは目をつむるといった感じですね。
設定項目7:フェールワンス
デフォルトではオフになっているのですが、ちょっとめんどくさい(?)機能です。
フェールワンスがオンになっていると、正しいログイン情報を入力しても1回目は必ずログインエラーを表示します。
その後5秒以降、60秒以内に再度正しいログイン情報を入力するとログイン可能。要するに不正ログインしようとした人がいても、正しい情報を正しくない情報と誤認させる事ができるということですね。
なのでセキュリティを考えると非常に良い機能なのですが、自分自身がこの設定をわすれていると正しい情報を入力してるのにログインできないというイライラを味わう可能性がある機能です(笑
なので、頻繁にログインするようなブログではオフにしておいた方が煩わしさが少ないかもしれません。
もちろんオンにしておいた方が安全ですが、ここは人によって設定を変えると良いでしょう。
設定項目8:XMLRPC防御
デフォルトでは「ピンバック無効化」がオンになっています。
ピンバックを使いたい方はオフにすると良いですが、ピンバックを悪用されることもあるので基本的にはオンの方が良いでしょう。
XMLRPCを無効化すると場合によって他のプラグインに影響が出る場合があるのでチェックは入れない方が無難。
設定項目9:ユーザー名漏洩防御
ユーザー名の漏洩を防止する機能です。
ご存知の方もいると思いますが、ワードプレスは「https://ドメイン名/?author=1」へアクセスするとユーザー名がバレてしまいます。
ユーザー名がバレるということは、あとはパスワードさえわかればログインできてしまうという事。なのでユーザー名も分からないようにしておいた方が良いわけです。
この機能をONにしておけば「https://ドメイン名/?author=1」にアクセスしてもユーザー名が分からないようになるため、ONにしておくと良いでしょう。
設定項目10:更新通知
ワードプレス、テーマ、プラグインが更新された場合に通知が届く機能で、デフォルトでオンになっています。
ワードプレスのセキュリティ対策としてワードプレスのバージョン、プラグインのバージョンを最新に保つことは非常に大事ですね。
ですが、しばらくログインしてないワードプレスだと更新されたことに気付かず、旧バージョンをずっと使っていた・・・なんて事も起こりがち。
古いバージョンのワードプレスやプラグインの脆弱性を狙われてサイトが改ざんされてしまう可能性もあるので、できる限りすみやかに最新版にしておくことが望ましいとされてます。
この設定がオンになっていれば更新が必要になった際にメールが届くので、速やかなバージョンアップが可能です。
設定項目11:WAFチューニングサポート
デフォルトではオフになっている機能で、必要に応じてルールを追加します。
特に困らなければオフのままでOK。
使うとすればサーバーのWAF設定でワードプレスの正常な操作が攻撃と見なされ、正常に設定が出来ないような場合に使用します。
例えばアクセス解析を設置しようとしたら403エラーが出てしまう、プラグインやウィジェットの編集が正常に反映されないなどの場合はWAFが影響している可能性があるので、そんな場合はここで新たなルールを設定すればエラーを予防できるようになります。
設定項目12:詳細設定
IPアドレスの取得方法を変更出来ますが、特に理由が無い限りそのままでOK。
設定項目13:ログイン履歴
ログイン履歴が確認できます。
最大1万件保存され、1万件を超えると古いものから削除されていく形。
【ZIG的おすすめ】SiteGuard WP Pluginの推奨設定
個人的におすすめの設定は以下の通り。
[box class=”yellow_box”]
- 管理ページアクセス制限:ON
- ログインページ変更:ONにしてURLをデフォルトから編集
- 画像認証:すべてひらがなでON
- ログインページ詳細エラーメッセージの無効化:ON
- ログインロック:ON
- ログインアラート:ON
- フェールワンス:OFF
- XMLRPC防御:ON(ピンバック無効化)
- ユーザー名漏洩防御:ON
- 更新通知:ON(ワードプレス更新・アクティブなテーマ・プラグイン)
- WAFチューニングサポート:必要に応じて設定
- 詳細設定:デフォルトのまま
[/box]
フェールワンスについてはオフにしていますが、頻繁にはログインしないワードプレスの場合はオンにしている場合もあります。
頻繁にログインするワードプレスでオンにしているとイライラして仕方ないので(笑
まとめ
というわけでSiteGuard WP Pluginの機能と設定についてまとめました。
ログインURLを変更するだけでもある程度不正ログインを防ぐことが出来ますが、他にも様々な設定がSiteGuard WP Pluginひとつで出来るので便利なプラグインです。
ワードプレスのセキュリティ対策を全くしていない・・・という方は対策としてインストールしておくと良いですね。