ブログを運営している人の多くがWordPressを利用しているのではないでしょうか。
このCMSはユーザーがとても多く、それゆえネット上にいろんな情報が転がっており、知りたい情報がすぐに見つかるというメリットがあります。
しかしユーザーが多いということは「不正アクセスの対象にされやすい」というリスクも併せ持っています。
対策を怠ると、悪意のある者がWordPress内部にまでアクセスしてくる危険があるのです。
このブログ、セキュリティが甘いゾ。
管理者ページにログインしてデータを壊してやろう!
苦労して構築したブログなのに・・
悪いヤツに乗っ取られたら最悪だよ。
大切なブログを不正アクセスから守るためにはセキュリティ対策が必須です!
そこで今回の記事では、人気のセキュリティ・プラグインである「SiteGuard WP Plugin」を紹介したいと思います。
とにかっくWordPressへのインストールが簡単!
設定項目も分かりやすいのでオススメです。
「SiteGuard WP Plugin」ってなに?
「SiteGuard WP Plugin」は日本のセキュリティ企業である「EGセキュアソリューションズ」が開発したWordPress用のプラグインです。
こちらを導入することにより WordPressの管理ページへの不正アクセスに対抗できます。
これって信頼できるプラグラインなの?
レンタルサーバー「ロリポップ!」も導入を推奨しています。
詳細はロリポップの公式サイト(お知らせ)をご覧ください。
有名な会社が推奨してるなら安心できそう。
さっそくインストールしてみようっと。
「SiteGuard WP Plugin」のインストール手順
WordPressの管理者ページにログインし、左のメニューから「①プラグイン」ー「②新規追加」を選択後、③キーワード欄に「SiteGuard」と入力して検索してみましょう。
「SiteGuard WP Plugin」というプラグインが見つかりますので、④「今すぐインストール」してください。
インストールが完了したら「有効化」します。
有効化した時点で既にいくつかのセキュリティ機能が動きます。
この時点で既に管理者ページのURLが変更されています。
新しいURLは忘れずにメモしておいてくださいね!
(詳細については後述します。)
「SiteGuard WP Plugin」の設定
メニューから「SiteGuard」ー「ダッシュボード」を選択すると、本プラグインで設定できるセキュリティ項目の一覧が表示されます。
(チェック済みのものが有効になっています。)
これより各項目について説明しますが、(上の一覧順ではなく)"ぜひ設定しておきたい項目"を優先に話を進めていきます。
ログインページ変更
WordPressをインストールすると、管理者ページURLは「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」になっています。
このままでは(あなた以外の)誰もが管理者ページにアクセスできてしまうため非常に危険です。
言われてみればたしかに・・
管理者ページのURLってバレバレなんですね。(汗)
「SiteGuard WP Plugin」は管理者ページのURLを変更することができます。
あなただけが知っているURLにすることでセキュリティが向上するというわけです。
さっそく「ログインページ変更」画面に移りましょう。
(前述したように)「SiteGuard WP Plugin」をインストールして有効化した時点で、管理者ページのURLは次のように変更されています。
https://ドメイン名/login_◯◯◯◯◯
( ◯◯◯◯◯は5桁の乱数字 )
さらに複雑にしたければ「login_○○○○○」の部分をあなたのお好きな文字列に変更しましょう。
ここでオプション項目にある「管理者ページからログインページへリダイレクトしない」は必ず「ON」にしてください。
これを怠ると(もともとのURLである)「ドメイン名/wp-login.php」や「ドメイン名/wp-admin」からリダイレクトされてしまうため、セキュリティを強化した意味がなくなってしまいます。
ユーザー名漏えい防御
試しにブラウザのURL欄に次のように入力してアクセスしてみてください。
https://あなたのドメイン名/?author=1ここでブラウザのURL欄を見てみると、次のように表示されているかと思います。
https://あなたのドメイン名/author/◯◯◯◯◯/この◯◯◯◯◯というのはあなたのログインユーザーIDではないですか?
ゲッ、どうして僕のユーザーIDが表示されるの!?
IDがバレバレで危ないじゃん!
コワいですよね・・
実はあなたのユーザーIDなんて"筒抜け"なんです。
「SiteGuard WP Plugin」を使って対策しましょう!
メニューから「ユーザー名漏えい防御」の画面に入ってください。
デフォルトの設定では「OFF」ですが、これを「ON」に変更してください。
これだけであなたのユーザーIDが漏れることはなくなります。
画像認証
「SiteGuard WP Plugin」を入れると管理者ページのログイン画面に「画像認証」が追加されます。
この機能は「画像認証」メニューにて設定します。
通常は「ON」になっていますが、不要なら「OFF」にすることもできますし、認証文字を「ひらがな←→英数字」に切り替えることも可能です。
ログインロック
機械的に不正ログインを試み、ログイン失敗を繰り返すような怪しいアクセスに対して、一定期間ロックする機能がこちらの「ログインロック」です。
デフォルトでは「ON」になっています。
デフォルトの秒数でも問題ありませんが、厳重にしたい場合は「30秒」の期間中に「3回」の失敗を繰り返した相手に対して「5分」ロックするという設定にするとよいでしょう。
ログイン詳細エラーメッセージの無効化
ログインできなかった際に詳細なエラーメッセージを返すのではなく、単純なメッセージの表示にとどめます。
わざわざ相手にエラー原因のヒントを与えても仕方ないですからね。
デフォルトでは「ON」になっています。
XMLRPC防御
XMLRPCの悪用を防ぐための機能です。
デフォルトでは「ピングバック無効化」が選択されていますが、(あなたがXMLRPCを使用したアプリやプラグインを使っていないなら)「XMLRPC無効化」を選択すればXMLRPC経由の攻撃を防御することができます。
ログインアラート
ログインがある度にメールで通知してくれる機能で、デフォルトでは「ON」になっています。
毎回メールが届くのを煩わしいと感じる方は「OFF」に変更しましょう。
更新通知
WordPress・プラグイン・テーマに更新があることをメールで通知してくれる機能です。
デフォルトでは「ON」になっていますが、更新通知が不要な方は「OFF」に変更してもよいでしょう。
管理ページアクセス制限
ログインしたときのみ管理者ページへの接続を許可し、ログインしていない接続元IPアドレスからのアクセスは制限する(404エラー)機能です。
デフォルトでは「OFF」になっています。
フェールワンス
仮に正しいログイン情報を入力したとしても1回目は必ずエラーにする機能です。
デフォルトでは「OFF」になっています。
WAFチューニングサポート
WAFの除外ルールを作成することで、WordPressでの誤検出を防ぎつつ、WAF機能を活用することができます。
ただしWebサーバにWAF(JP-Secureの「SiteGuard Lite」)が導入されている必要があります。
ログイン履歴
こちらでは過去のログイン履歴を確認することができます。
ログインできないときの緊急対処法
もし「SiteGuard WP Pligin」で何かしらの障害が発生し、管理者ページにログインできない状態になったら大変です。
そもそもログインできないから設定の変更もできないし・・
管理者なのにどうすることもできない・・(困)
このような場合はFTPソフトを使って、以下の手順でプラグインを一旦無効化しましょう。
①FTPソフトであなたサイトにログインする。
②WordPressが入っているディレクトリに移動し「wp-content」「plugins」と進む。
③「siteguard」というディレクトリ名を別の名称に変更する。
④リネームしたことで「SiteGuard WP Pligin」プラグインが無効化される。
これでプラグイン導入前の状態に戻りますので、「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」にアクセスしてログインし、適切な処置を行いましょう。
まとめ
"素の状態"のWordPressではセキュリティがとても弱いため、不正アクセスへの対策が必須です!
今回紹介した「SiteGuard WP Plugin」は簡単に導入できる上、各種セキュリティ設定も自分好みにカスタマイズできるのでぜひお試しください。
もっとセキュリティを強化したい方は2段階認証の導入も検討しましょう。
