ブログを運営されている方の多くがWordPressを利用されているかと思いますが、ユーザー数の多さゆえに不正アクセスの対象になりやすいのが現実です。
もしあなたが何もセキュリティ対策もしていない場合、悪意のある者はWordPressの管理者ページURLを簡単に特定できますし、ログインするためのユーザーIDだって見つけだせてしまうのです。
セキュリティが甘いサイトだな。
「管理者ページ」にログインして、ブログにイタズラしてやろう。
勝手にログインされたら最悪・・
でもセキュリティ対策って何をしたらいいの?
あなたにオススメしたいセキュリティ対策の1つとして、本記事では「SiteGuard WP Plugin」を紹介します。
こちらはWordPressのプラグインなので簡単に導入でき、有効化した直後からいくつかのセキュリティが働いてくれるという便利なものです。
それならブログ初心者の僕でも使えそう。
導入手順など詳しく知りたいな。
「SiteGuard WP Plugin」について
「SiteGuard WP Plugin」は日本の「EGセキュアソリューションズ」が開発したWordPress用セキュリティプラグインです。
こちらを導入することであなたのブログ(管理ページ)を不正アクセスから守ってくれるでしょう。
こちらは日本のセイキュリティ企業が作ったプラグインなんですよ。
実はこの「SiteGuard WP Plugin」、有名なレンタールサーバーの1つである「ロリポップ!」も公式に導入を推奨しています。
詳細はこちらの公式ページ(お知らせ)をご覧ください。
ロリポップ!が推奨するなら、ますます信頼できますね。
さっそく導入してみよう!
「SiteGuard WP Plugin」のインストール
WordPressの管理ページにログインし、メニューの「①プラグイン」ー「②新規追加」を選択します。
③キーワードに「SiteGuard」と指定して検索すると「SiteGuard WP Plugin」が見つかりますので、「④今すぐインストール」しましょう。
インストールが終了したら「有効化」してください。
これで「SiteGuard WP Plugin」が有効になり、すぐにいくつかのセキュリティ機能が動きはじめます。
この時点で管理者ページのログインURLが変更されています。
忘れずにメモしておいてくださいね。
詳細については後述します。
「SiteGuard WP Plugin」のセキュリティ設定
メニューから「SiteGuard」ー「ダッシュボード」を選択すると、本プラグインで設定可能なセキュリティ項目が表示されます。
チェックが入っているものはデフォルトで「ON」になっている項目です。
これよりセキュリティ項目を1つ1つ見ていきますが、(上画面の表示順ではなく)"ぜひ設定変更したい項目"から優先して解説したいと思います。
ログインページ変更
WordPressの管理者ページにアクセスする際、URLに「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」を指定しますよね。
このようにアドレス末尾が固定されているのはWordPressの仕様なのですが、あなただけでなく誰でも管理者ページにアクセスできてしまうため非常に危険です。
管理者ページのURLって実はバレバレなんですね・・(汗)
そこで「SiteGuard WP Plugin」が役に立ちます。
このプラグインを使えば管理者ページのURLを変更できるので、あなた以外の者が容易にはアクセスできなくなり、セキュリティが向上するというわけです。
では「ログインページ変更」の設定画面に入ってみましょう。
先述したように「SiteGuard WP Plugin」をインストールし有効化した時点で、すでに管理者ページのURLは次のように変更されているはずです。
https://ドメイン名/login_◯◯◯◯◯
( ◯◯◯◯◯は5桁の乱数字 )
末尾はあなたの希望のページ名に変更することもできます。
オプションとして「管理者ページからログインページへリダイレクトしない」という項目がありますが、こちらは必ず「ON」にしてください。
これを怠ると「ドメイン名/wp-login.php」や「ドメイン名/wp-admin」からでもリダイレクトされてしまい、URLを変更した意味がありません。
ユーザー名漏えい防御
ちょっと試しにブラウザで次のURLにアクセスしてみてください。
https://あなたのドメイン名/?author=1するとブラウザ画面が再描画され、再びURLを見てみると・・
https://あなたのドメイン名/author/◯◯◯◯◯/この◯◯◯◯◯はあなたのユーザーIDではないですか?
げっ、なんで僕のユーザーIDが表示されちゃうの?
危ないじゃん!
分かる人にはユーザーIDまでバレバレなんですね。
「SiteGuard WP Plugin」を使って対策しましょう!
メニューから「ユーザー名漏えい防御」の画面に入ってください。
デフォルトでは「OFF」になっていますが、この設定を「ON」にすることでユーザーIDが他人に漏れることを防いでくれます。
画像認証
管理者ページのログイン画面に「画像認証」の項目が追加されているのにお気づきでしょうか。
この機能は「画像認証」メニューにて設定します。
デフォルトでは「ON」になっていますが、「OFF」にすることもできますし、「ひらがな←→英数字」を切り替えることも可能です。
ログインロック
「ログインロック」は機械的に不正ログインを試み、ログイン失敗を繰り返すような怪しい接続元に対して、一定期間ロックするという機能です。
デフォルトでは「ON」になっています。
デフォルトの秒数でも問題ありませんが、さらに厳重にしたいなら「30秒」の期間中に「3回」の失敗を繰り返した相手に対して「5分」ロックする設定にするとよいでしょう。
ログイン詳細エラーメッセージの無効化
ログインでエラーとなった際、詳細なエラーメッセージを表示するのではなく、単一のメッセージ表示にとどめます。
相手にエラー原因のヒントを与えないようにするための機能です。
デフォルトでは「ON」になっています。
XMLRPC防御
XMLRPCの悪用を防ぐための機能です。
デフォルトでは「ピングバック無効化」が選択されていますが、(あなたがXMLRPCを使用したアプリやプラグインを使っていないなら)「XMLRPC無効化」を選択すればXMLRPC経由の攻撃を防御することができます。
ログインアラート
ログインがある度にメールで通知してくれる機能です。
デフォルトでは「ON」になっていますが、人によっては毎回届くメールを煩わしいと感じるかもしれません。
本機能が不要な方は「OFF」に変更してもよいでしょう。
更新通知
WordPress・プラグイン・テーマに更新があることをメールで通知してくれる機能です。
デフォルトでは「ON」になっていますが、更新通知が不要な方は「OFF」に変更してもよいでしょう。
管理ページアクセス制限
ログインしたときのみ管理者ページへの接続を許可し、ログインしていない接続元IPアドレスからのアクセスは制限する(404エラー)機能です。
デフォルトでは「OFF」になっています。
フェールワンス
正しいログイン情報を入力したとしても、1回目は必ずエラーにする機能です。
デフォルトでは「OFF」になっています。
WAFチューニングサポート
WAFの除外ルールを作成することで、WordPressでの誤検出を防ぎつつ、WAF機能を活用することができます。
ただしWebサーバにWAF(JP-Secureの「SiteGuard Lite」)が導入されている必要があります。
詳細設定
IPアドレスの取得方法を設定します。
ログイン履歴
こちらでは過去のログイン履歴を確認することができます。
ログインできなくなった場合の緊急対処法
「SiteGuard WP Pligin」を導入後に何かしらの問題が発生し、"どうしても管理者ページにログインできない"状態になることもあるかもしれません。
ログインできないから設定を変更することもできないし・・
どうすればいいの?
そのような場合はFTPソフトを使い、以下の手順でプラグインを一旦無効化しましょう。
①FTPソフトでサイトにログインする。
②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。
③ここにある「siteguard」というディレクトリ名を別の名称に変更する。
④リネームしたことで「SiteGuard WP Pligin」プラグインは無効になる。
これでプラグイン導入前の初期状態にもどりますので、「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」にアクセスし、ユーザーID/パスワードでログインして適切な処置を行ってください。
まとめ
WordPressの管理者ページは簡単にURLが特定できるため、いつ不正アクセスの被害にあっても不思議ではありません。
大切なブログを危険から守る上で、今回ご紹介した「SiteGuard WP Plugin」はとても有効です。
プラグインなので簡単に導入できますし、各種設定もシンプルなので状況に応じてカスタマイズもしやすいと思いますよ。
よかったらお試しください。
セキュリティをさらに強化したいなら、WordPressに2段階認証を導入してはいかがでしょうか。
