SiteGuardで全体的なセキュリティ対策

ワードプレスの全体的なセキュリティ対策として「SiteGuard WP Plugin」の導入がおすすめです。

管理ページのアクセス制限を行ったり、画像認証を追加したり、ログイン失敗を繰り返す接続元をロックしたりなど、最低限実施しておいた方が良い対策が盛り込まれています。

SiteGuardのインストール

① 管理画面で「プラグイン」にカーソルを合わせます。
② 右側にメニューが出てくるので「新規追加」をクリックします。

プラグインのインストール①②


③ 検索窓に「SiteGuard」を入力します。
④ 欲しいプラグインが表示されたら「今すぐインストール」をクリックします。


⑤ インストールが完了したら「有効化」をクリックします。

新しいログインページURLの確認

プラグインを有効化するとログインページURLが変更されます。

新しいURLを確認してブックマークしておきましょう。

① 有効化すると表示されるメッセージより新しいログインページに移動し、ブックマークします。

ダッシュボードで設定状況を確認

SiteGuardの設定状況はダッシュボードから確認できます。

ダッシュボードを起点に、各種設定変更をしていきましょう。

① 管理画面で「SiteGuard」にカーソルを合わせます。
② 右側にメニューが出てくるので「ダッシュボード」をクリックします。


③ 設定状況から変更したいメニューを選択します。

管理ページアクセス制限

この機能をONにすると、ログイン記録のないIPアドレスから「URL/wp-admin/」へのアクセスができなくなり、また、24時間経過するとログイン記録が削除されます。

つまり、24時間経過すると管理ページへの直接アクセスができず、ログインページから再度ログインする必要があります。

セキュリティは強化されますが、場合によってはログインできなくなってしまうがあるため、この辺りの仕組みができていない方はOFFにしておく方が良いです。

デフォルトではOFFになっています。

ログインページ変更

ログインページのURLを変更することができます。

通常ログインページへは「URL/wp-login.php」を入力してアクセスしますが、赤字の部分を変更するものになります。

また、オプションの「管理者ページからログインページへリダイレクトしない」にチェックを入れると、ログインしていない人が「URL/wp-admin/」にアクセスしても自動的にログインページへリダイレクトされないため、より強固になります。

ただし、変更したログインページをブックマークしておかないとログインできなくなってしまうため、ONにする場合は忘れないよう、注意しましょう。

デフォルトではONで5桁のランダム数字が設定されます。

画像認証

この機能をONにすると、ログインする時などに追加で画像認証の機能を設けることができます。

ボットによる攻撃に有効なので、是非ONにしておきましょう。

デフォルトではONになっています。

ログイン詳細エラーメッセージの無効化

この機能をONにすると、ログイン失敗時に単一のメッセージを出力し、何が原因なのか分からなくします。

少し利便性が落ちますが、逆を言えば攻撃によりユーザー名もしくはパスワードのどちらか当てられても単一のメッセージしか表示されないため、是非ONにしておきましょう。

デフォルトではONになっています。

ログインロック

この機能をONにすると、設定した回数のログインが失敗した接続元IPアドレスを、設定した期間のログインをロックすることができます。

もちろんONにすることを推奨しますが、正直ボットなどに対しては意味がないため効果が薄いです。

デフォルトではONになっています。

ログインアラート

ログインがあるとメールに通知される機能です。

ログイン頻度が少ない場合は、是非ONにしておきましょう。

ログイン頻度が多い場合は、邪魔になるかもしれません。

デフォルトではONになっています。

フェールワンス

正しいログイン情報を入力しても、1回だけログインが失敗する機能です。

何らかの方法で正しいログイン情報を入手し、不正操作するためにログインしようとしても、必ず1回失敗するのでフェイクになります。

ただし、不正操作する人には見抜かれている可能性が高いため、効果が薄いかもしれません。

逆に自分が煩わしいと思います。

デフォルトではOFFになっています。

XMLRPC防御

XMLRCPとは、外部のプログラムからワードプレスを操作するためのものです。

ボットによる攻撃がXMLRCPであることが多いので是非ONにしておきたいのですが、JetpackやGoogleSearchConsoleでも使っており、支障が出ます。

ピンバックは、リンクをコンテンツに貼ってリンク元の管理者に自動通知する機能になりますが、DDoS攻撃に悪用される場合があるため、不要であれば無効化を推奨します。

デフォルトではONでピンバック機能が無効化されています。

更新通知

この機能をONにすると、WordPress、プラグイン、テーマの更新が必要になった時にメールで通知がされます。

いち早く更新の情報を受け取りたい場合はONにしておきましょう。

デフォルトではONになっています。

WAFチューニングサポート

WAF(SiteGuard Lite)を導入している場合に、除外設定をするための機能となります。

デフォルトではOFFになっています。

詳細設定

IPアドレスの取得方法を設定します。

Webサーバーの前にプロキシサーバーやロードバランサなどを経由している場合、X-Forwarded-Forで接続元のIPアドレスを取得する設定にしましょう。

デフォルトでは「リモートアドレス」になっています。

ログイン履歴

ログイン履歴を確認することができます。

ログイン失敗についても出力されるため、記憶にない履歴が大量に出力されている場合、攻撃を受けている可能性が高いです。

おわりに

SiteGuardは全体的なセキュリティ対策としておすすめのプラグインになりますが、あくまでも一つのツールでしかないので、これで万全と過信しないよう注意しましょう。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA