みなさんがブログ運営を運営する上でWordPressは欠かせないでしょう。
たしかにこのCMSにはたくさんのメリットがありますが、ユーザーが多いゆえに不正アクセスの対象にされやすいという危険も同時に持っています。
なんのセキュリティ対策もしないままWordPressを使っていると、悪意のある者はブログの管理者ページにたどり着けるばかりか、ログインするためのユーザーIDだって見つけてしまうのです。
このブログ、セキュリティが甘いゾ。
ログインしてイタズラしてやろう!
大切なブログを無茶苦茶にされたら最悪だよ・・
何か対策をしなきゃ!
そこでセキュリティ対策の1つとして「SiteGuard WP Plugin」を導入してはいかがでしょうか。
こちらはWordPressのプラグインなのでインストールが簡単ですし、設定も分かりやすいのでオススメです。
さっそく詳しく見ていきましょう!
「SiteGuard WP Plugin」ってなに?
「SiteGuard WP Plugin」は日本のセキュリティ企業である「EGセキュアソリューションズ」が開発したWordPress用のプラグインです。
これを導入すればWordPressの管理ページを不正アクセスから守ってくます。
信頼できるプラグラインなの?
ロリポップが推奨してるなら安心だ!
さっそくインストールしてみよう。
「SiteGuard WP Plugin」のインストール手順
まずはWordPressの管理者ページにログインし、メニューから「①プラグイン」ー「②新規追加」と選択します。
つづいて③キーワード欄に「SiteGuard」と入力して検索しましょう。
すると「SiteGuard WP Plugin」というプラグインが見つかりますので、④「今すぐインストール」してください。
プラグインのインストールが完了したら「有効化」します。
有効化するとすぐにいくつかのセキュリティ機能が動き出します。
既にこの時点で管理者ページのURLが変わっています。
新しいURLは忘れずにメモしておきましょう。
(詳細については後述します。)
「SiteGuard WP Plugin」の設定
WordPressのメニューから「SiteGuard」ー「ダッシュボード」を選択してください。
すると本プラグインで設定可能なセキュリティ項目がいくつか表示されます。
ここにチェックが入っているものは既に有効になっている項目です。
これより各セキュリティ項目を解説しますが、(上画面の表示順ではなく)"ぜひとも設定しておきたい項目"を優先して進めていきます。
ログインページ変更
通常 WordPressの管理者ページのURLは「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」になっています。
ただこのままでは(あなた以外の)誰もが管理者ページにアクセスできてしまうため非常に危険です。
たしかに・・
管理者ページのURLってバレバレなんですね・・(汗)
「SiteGuard WP Plugin」は管理者ページのURLを変更することができます。
あなただけが知っているURLにすればセキュリティが向上するというわけです。
さっそく「ログインページ変更」画面に移りましょう。
(前述したように)「SiteGuard WP Plugin」をインストールして有効化した時点で、管理者ページのURLは次のように変更されています。
https://ドメイン名/login_◯◯◯◯◯
( ◯◯◯◯◯は5桁の乱数字 )
さらに複雑にしたければ「login_○○○○○」の部分をあなたのお好きな文字列に変更しましょう。
ここでオプション項目にある「管理者ページからログインページへリダイレクトしない」は必ず「ON」にしてください。
これを怠ると(初期URLであった)「ドメイン名/wp-login.php」や「ドメイン名/wp-admin」からリダイレクトされてしまうため、セキュリティを強化した意味がなくなってしまいます。
(誰でも新しいログインURLにたどり着けてしまうからです。)
ユーザー名漏えい防御
試しにブラウザのURL欄に次のように入力してアクセスしてみてください。
https://あなたのドメイン名/?author=1ここで改めてブラウザのURL欄を確認すると、次のように表示されているかと思います。
https://あなたのドメイン名/author/◯◯◯◯◯/この◯◯◯◯◯というのはあなたのログインユーザーIDではないですか?
ゲッ、なんで僕のユーザーIDが表示されるの!?
こんなのバレたら危ないじゃん!
コワいですよね・・
実はあなたのユーザーIDなんて"筒抜け"なんですよ。
「SiteGuard WP Plugin」を使って対策しましょう!
メニューから「ユーザー名漏えい防御」の画面に入ってください。
デフォルトの設定では「OFF」ですが、これを「ON」に変更してください。
これだけであなたのユーザーIDが漏れることはなくなります。
画像認証
「SiteGuard WP Plugin」を入れると管理者ページのログイン画面に「画像認証」が追加されます。
この機能は「画像認証」メニューにて設定します。
通常は「ON」になっていますが、不要なら「OFF」にすることもできますし、認証文字を「ひらがな←→英数字」に切り替えることも可能です。
ログインロック
機械的に不正ログインを試み、ログイン失敗を繰り返すような怪しいアクセスに対して、一定期間ロックする機能がこちらの「ログインロック」です。
デフォルトでは「ON」になっています。
デフォルトの秒数でも問題ありませんが、厳重にしたい場合は「30秒」の期間中に「3回」の失敗を繰り返した相手に対して「5分」ロックするという設定にするとよいでしょう。
ログイン詳細エラーメッセージの無効化
ログインエラー時に詳細なエラーメッセージを返すのではなく、単純なメッセージの表示にとどめます。
相手にエラー原因のヒントを与えないようにするための機能です。
デフォルトでは「ON」になっています。
XMLRPC防御
XMLRPCの悪用を防ぐための機能です。
デフォルトでは「ピングバック無効化」が選択されていますが、(あなたがXMLRPCを使用したアプリやプラグインを使っていないなら)「XMLRPC無効化」を選択すればXMLRPC経由の攻撃を防御することができます。
ログインアラート
ログインがある度にメールで通知してくれる機能で、デフォルトでは「ON」になっています。
人によっては毎回メールが届くのを煩わしいと感じるでしょうから、本機能が不要なら「OFF」に変更してもよいでしょう。
更新通知
WordPress・プラグイン・テーマに更新があることをメールで通知してくれる機能です。
デフォルトでは「ON」になっていますが、更新通知が不要な方は「OFF」に変更してもよいでしょう。
管理ページアクセス制限
ログインしたときのみ管理者ページへの接続を許可し、ログインしていない接続元IPアドレスからのアクセスは制限する(404エラー)機能です。
デフォルトでは「OFF」になっています。
フェールワンス
正しいログイン情報を入力したとしても1回目は必ずエラーにする機能です。
デフォルトでは「OFF」になっています。
WAFチューニングサポート
WAFの除外ルールを作成することで、WordPressでの誤検出を防ぎつつ、WAF機能を活用することができます。
ただしWebサーバにWAF(JP-Secureの「SiteGuard Lite」)が導入されている必要があります。
詳細設定
IPアドレスの取得方法を設定します。
ログイン履歴
こちらでは過去のログイン履歴を確認することができます。
ログインできないた場合の緊急対処法
もし「SiteGuard WP Pligin」で何かしらの障害が発生し、管理者本人ですら管理者ページにログインできない状態になると困りますよね。
そもそもログインできないから設定変更もできないし・・
何もできない最悪の状態だ・・(困)
そのような場合はFTPソフトを使い、以下の手順でプラグインを一旦無効化しましょう。
①FTPソフトであなたサイトにログインする。
②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。
③「siteguard」というディレクトリ名を別の名称に変更する。
④リネームしたことで「SiteGuard WP Pligin」プラグインは無効になっている。
これでプラグイン導入以前の状態に戻りますので、「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」にアクセスしてログインし、適切な処置を行ってください。
まとめ
素の状態のWordPressは(管理者ページURLが簡単に特定できるなど)セキュリティ的に非常に危険であるため、早急な対策が必要です。
不正アクセスの被害にあわないためにも、まずは「SiteGuard WP Plugin」を導入してみてはいかがでしょうか。
プラグインなので簡単に導入できますし、あなたの希望に応じて各種設定もカスタマイズしやすいのでオススメですよ。
ぜひ一度試してみてください。
さらにセキュリティを強化したいなら 2段階認証を導入も有効です。
