ブログを運営している人の多くがWordPressを利用しているのではないでしょうか。
このCMSはユーザーが多く、必要な情報はほとんどネットから取得できるので便利ですよね。
しかしメリットが多い反面、「不正アクセスの対象にされやすい」というリスクも併せ持っています。
適切な対策を怠っていると、悪意のある者がWordPress内部にアクセスしてくる危険があるのです。
このブログ、セキュリティが甘いゾ。
管理者ページにログインしてデータを壊してやろう!
せっかく苦労して構築したブログなのに・・
乗っ取られたら最悪だよ。
大切なブログを不正アクセスから守るためにはセキュリティ対策は必須です!
今回はその一環として「SiteGuard WP Plugin」というプラグインを紹介したいと思います。
WordPressへのインストールが簡単で、セキュリティの設定項目も分かりやすいですよ。
超オススメのプラグインです。
ぜひ導入してみてください。
「SiteGuard WP Plugin」ってなに?
「SiteGuard WP Plugin」は日本のセキュリティ企業である「EGセキュアソリューションズ」が開発したWordPress用のプラグインです。
こちらを導入すればWordPressの管理ページを不正アクセスから守ってくます。
信頼できるプラグラインなの?
レンタールサーバー「ロリポップ!」も導入を推奨しているプラグインです。
詳細はロリポップの公式サイト(お知らせ)をご覧ください。
有名なロリポップが推奨してるくらいだから安心できますね。
さっそくインストールしてみよう。
「SiteGuard WP Plugin」のインストール手順
WordPressの管理者ページのメニューから「①プラグイン」ー「②新規追加」を選択し、③キーワード欄に「SiteGuard」と入力して検索してください。
「SiteGuard WP Plugin」というプラグインが見つかったら、④「今すぐインストール」しましょう。
インストールが完了したら「有効化」します。
有効化した時点で既にいくつかのセキュリティ機能が動いています。
この時点で既に管理者ページのURLが変更されています。
新しいURLは忘れずにメモしておきましょう。
(詳細については後述します。)
「SiteGuard WP Plugin」の設定
メニューから「SiteGuard」ー「ダッシュボード」を選択すると、本プラグインで設定できるセキュリティ項目の一覧が表示されます。
(チェック済みのものが有効になっています。)
これより各項目の説明に入りますが、(一覧の表示順ではなく)"ぜひ設定しておきたい項目"を優先して話を進めていきます。
ログインページ変更
WordPressをインストールした時点では、管理者ページURLは「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」になっています。
ただこのままでは(あなた以外の)誰もが管理者ページにアクセスできてしまうため非常に危険です。
言われてみればたしかに・・
管理者ページのURLってバレバレですね。(汗)
「SiteGuard WP Plugin」は管理者ページのURLを変更することができます。
あなただけが知っているURLにすればセキュリティが向上するというわけです。
さっそく「ログインページ変更」画面に移りましょう。
(前述したように)「SiteGuard WP Plugin」をインストールして有効化した時点で、管理者ページのURLは次のように変更されています。
さらに複雑にしたければ「login_○○○○○」の部分をあなたのお好きな文字列に変更しましょう。
ここでオプション項目にある「管理者ページからログインページへリダイレクトしない」は必ず「ON」にしてください。
これを怠ると(もともとのURLである)「ドメイン名/wp-login.php」や「ドメイン名/wp-admin」からリダイレクトされてしまうため、セキュリティを強化した意味がなくなってしまいます。
ユーザー名漏えい防御
まず試しにブラウザのURL欄に次のように入力してアクセスしてみてください。
https://あなたのドメイン名/?author=1
ここで改めてブラウザのURL欄を見てみると、次のように表示されているかと思います。
https://あなたのドメイン名/author/◯◯◯◯◯/
この◯◯◯◯◯というのはあなたのログインユーザーIDではないですか?
ゲッ、なんでここに僕のユーザーIDが表示されるの!?
IDを知られたら危ないじゃん!
コワいですよね・・
実はあなたのユーザーIDなんて"筒抜け"なんです。
「SiteGuard WP Plugin」を使って対策しましょう!
メニューから「ユーザー名漏えい防御」の画面に入ってください。
デフォルトの設定では「OFF」ですが、これを「ON」に変更してください。
これだけであなたのユーザーIDが漏れることはなくなります。
画像認証
「SiteGuard WP Plugin」を入れると管理者ページのログイン画面に「画像認証」が追加されます。
この機能は「画像認証」メニューにて設定します。
通常は「ON」になっていますが、不要なら「OFF」にすることもできますし、認証文字を「ひらがな←→英数字」に切り替えることも可能です。
ログインロック
機械的に不正ログインを試み、ログイン失敗を繰り返すような怪しいアクセスに対して、一定期間ロックする機能がこちらの「ログインロック」です。
デフォルトでは「ON」になっています。
デフォルトの秒数でも問題ありませんが、厳重にしたい場合は「30秒」の期間中に「3回」の失敗を繰り返した相手に対して「5分」ロックするという設定にするとよいでしょう。
ログイン詳細エラーメッセージの無効化
ログインできなかった際に詳細なエラーメッセージを返すのではなく、単純なメッセージの表示にとどめます。
わざわざ相手にエラー原因のヒントを与えても仕方ないですからね。
デフォルトでは「ON」になっています。
XMLRPC防御
XMLRPCの悪用を防ぐための機能です。
デフォルトでは「ピングバック無効化」が選択されていますが、(あなたがXMLRPCを使用したアプリやプラグインを使っていないなら)「XMLRPC無効化」を選択すればXMLRPC経由の攻撃を防御することができます。
ログインアラート
ログインがある度にメールで通知してくれる機能で、デフォルトでは「ON」になっています。
毎回メールが届くのを煩わしいと感じる方は「OFF」に変更しましょう。
更新通知
WordPress・プラグイン・テーマに更新があることをメールで通知してくれる機能です。
デフォルトでは「ON」になっていますが、更新通知が不要な方は「OFF」に変更してもよいでしょう。
管理ページアクセス制限
ログインしたときのみ管理者ページへの接続を許可し、ログインしていない接続元IPアドレスからのアクセスは制限する(404エラー)機能です。
デフォルトでは「OFF」になっています。
フェールワンス
仮に正しいログイン情報を入力したとしても1回目は必ずエラーにする機能です。
デフォルトでは「OFF」になっています。
WAFチューニングサポート
WAFの除外ルールを作成することで、WordPressでの誤検出を防ぎつつ、WAF機能を活用することができます。
ただしWebサーバにWAF(JP-Secureの「SiteGuard Lite」)が導入されている必要があります。
ログイン履歴
こちらでは過去のログイン履歴を確認することができます。
ログインできないときの緊急対処法
もし「SiteGuard WP Pligin」で何かしらの障害が発生し、管理者であるあなたでも管理者ページにログインできない状態になったら困りますよね。
ログインできないから設定を変えることもできない訳で・・
どうすることもできない最悪の状態だな・・
そのような場合はFTPソフトを使い、以下の手順でプラグインを一旦無効化しましょう。
①FTPソフトであなたサイトにログインする。
②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。
③「siteguard」というディレクトリ名を別の名称に変更する。
④リネームしたことにより「SiteGuard WP Pligin」プラグインが無効化される。
これでプラグイン導入以前の状態に戻りますので、「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」にアクセスしてログインし、適切な処置を行ってください。
まとめ
"素のまま"のWordPressはセキュリティ的に弱い部分があるため、不正アクセスからブログを守るための対策を早急にすべきです。
今回紹介した「SiteGuard WP Plugin」は導入も簡単ですし、各種セキュリティ設定も自分好みにカスタマイズできるのでぜひお試しください。
さらにセキュリティを強化したい場合は2段階認証の導入も検討してみるとよいでしょう。