【SiteGuard WP Plugin】WordPressの管理ページを不正アクセスから防御!

WordPressに導入したいセキュリティ・プラグインガジェット
WordPressに導入したいセキュリティ・プラグイン

ブログ運営している多くの方がWordPressを利用しているのではないでしょうか。

とても便利なCMSではありますが、ユーザー数が多いゆえに不正アクセスの対象になりやすいという危険も持っています。

もしあなたがセキュリティ対策をしないまま運営していると、悪意のある者はWordPressの管理者ページURLを簡単に特定できてしまいます。

さらにログインするためのユーザーIDだって見つけだせてしまうんですよ。

セキュリティが甘いサイトを見つけたゾ。

「管理者ページ」にログインしてサイトを壊してやろう。

他人にログインされたら最悪の事態になりそうだ・・

でもセキュリティ対策って何をしたらいいの?

そこで本記事では、オススメしたいセキュリティ対策の1つとして「SiteGuard WP Plugin」を紹介します。

WordPressのプラグインなので導入も簡単ですし、有効化の直後からいくつかのセキュリティが動作するのでとても便利です。

さっそく詳しく見ていきましょう!

スポンサーリンク

「SiteGuard WP Plugin」ってなに?

「SiteGuard WP Plugin」は日本のセキュリティ企業である「EGセキュアソリューションズ」が開発したWordPress用のプラグインであり、管理ページを不正アクセスから守ってくれるものです。

このプラグインって信頼できるのかなぁ・・

大丈夫?

有名なレンタールサーバーである「ロリポップ!」「SiteGuard WP Plugin」の導入を推奨してるんですよ。

気になる方はこちらの公式ページをご覧ください。

「ロリポップ!」が推奨してるなら安心ですね!

インストールしてみようかな。

スポンサーリンク

「SiteGuard WP Plugin」のインストール手順

WordPressの管理者ページにログインし、メニューの「①プラグイン」ー「②新規追加」を選択してください。

③キーワード欄に「SiteGuard」と入力して検索すると「SiteGuard WP Plugin」がヒットしますので、このプラグインを④今すぐインストールしましょう。

プラグインの新規追加
プラグインの新規追加

インストールが終了したら「有効化」してくださいね。

「SiteGuard WP Pligin」の有効化
「SiteGuard WP Pligin」の有効化

これで「SiteGuard WP Plugin」が有効になり、この時点でいくつかのセキュリティ機能が働いています。

「SiteGuard WP Pligin」の有効化が完了
「SiteGuard WP Pligin」の有効化が完了

この時点で管理者ページのログインURLが変更されています

新しいURLを忘れずにメモしておいてくださいね。

(詳細については後述します。)

スポンサーリンク

「SiteGuard WP Plugin」のセキュリティ設定

WordPressのメニューから「SiteGuard」ー「ダッシュボード」を選択しましょう。

すると本プラグインで設定可能なセキュリティ項目がいくつか表示されます。

ここにチェックが入っているものはすでに「ON」になっている項目です。

「SiteGuard WP Plugin」のダッシュボード
「SiteGuard WP Plugin」のダッシュボード

本章ではセキュリティ項目の内容を1つ1つ見ていきますが、(上の画面に表示されている順ではなく)"ぜひ設定変更しておきたい項目"から優先して解説していきます。

ログインページ変更

WordPressの管理者ページにアクセスする際、URLに「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」を指定しますよね。

URLが決まっているのはWordPressの仕様なのですが、これでは(あなた以外の)誰でも管理者ページにアクセスできてしまい非常に危険です。

そっか・・

管理者ページのURLってバレバレなんですね。(汗)

そこで「SiteGuard WP Plugin」の出番です!

このプラグインを使えば管理者ページのURLを変更できるため、あなた以外の者が容易にはアクセスできなくなり、セキュリティが向上するというわけです。

では「ログインページ変更」の設定画面に入ってみましょう。

ログインページ変更
ログインページ変更

前述したように「SiteGuard WP Plugin」を有効化した時点で、管理者ページのURLは次のように変更されているはずです。

変更後の管理者ページURL

https://ドメイン名/login_◯◯◯◯◯

◯◯◯◯◯は5桁の乱数字 )

このURLが気に入らなければ、あなたのお好きなページ名に変更することもできます。

オプションに「管理者ページからログインページへリダイレクトしない」というチェック項目がありますが、こちらは必ず「ON」にしましょう

これを怠ると「ドメイン名/wp-login.php」「ドメイン名/wp-admin」からでもリダイレクトされてしまい、URLを変更した意味がありません。

(誰でもログインURLにたどり着けてしまいます。)

ユーザー名漏えい防御

試しにブラウザのURL欄に次のように入力してみてください。

https://あなたのドメイン名/?author=1

画面が再描画された後にURLを確認すると、次のように書かれているかと思います。

https://あなたのドメイン名/author/◯◯◯◯◯/

この◯◯◯◯◯というのはあなたのユーザーIDではないですか?

ゲッ、なんでここに僕のユーザーIDが表示されてるの!?

こんなのバレたら危ないじゃん!

コワいですよね。

このように分かる人にはユーザーIDまで"筒抜け"なんですよ。

「SiteGuard WP Plugin」を使って対策しましょう!

メニューから「ユーザー名漏えい防御」の画面に入ってください。

デフォルトでは「OFF」になっていますが、この設定を「ON」に変更してください。

これでユーザーIDが他人に漏れることはなくなります。

ユーザー名漏えい防御
ユーザー名漏えい防御

画像認証

管理者ページのログイン画面に「画像認証」の項目が追加されているのにお気づきでしょうか。

管理者ページのログイン画面
管理者ページのログイン画面

この機能は「画像認証」メニューにて設定します。

デフォルトでは「ON」になっていますが、「OFF」にすることもできますし、「ひらがな←→英数字」を切り替えることも可能です。

画像認証
画像認証

ログインロック

「ログインロック」は機械的に不正ログインを試み、ログイン失敗を繰り返すような怪しい接続元に対して、一定期間ロックするという機能です。

デフォルトでは「ON」になっています。

ログインロック
ログインロック

デフォルトの秒数でも問題ありませんが、さらに厳重にしたいなら「30秒」の期間中に「3回」の失敗を繰り返した相手に対して「5分」ロックするという設定にするとよいでしょう。

ログイン詳細エラーメッセージの無効化

ログインでエラーとなった際に詳細なエラーメッセージを表示するのではなく、単一のメッセージ表示にとどめます。

これは相手にエラーとなる原因のヒントを与えないようにするための機能です。

デフォルトでは「ONになっています。

ログイン詳細エラーメッセージの無効化
ログイン詳細エラーメッセージの無効化

XMLRPC防御

XMLRPCの悪用を防ぐための機能です。

デフォルトでは「ピングバック無効化」が選択されていますが、(あなたがXMLRPCを使用したアプリやプラグインを使っていないなら)「XMLRPC無効化」を選択すればXMLRPC経由の攻撃を防御することができます。

XMLRPC防御
XMLRPC防御

ログインアラート

ログインがある度にメールで通知してくれる機能です。

デフォルトでは「ON」になっていますが、人によっては毎回毎回メールが届くのを煩わしいと感じるかもしれません。

本機能が不要な方は「OFF」に変更してもよいでしょう。

ログインアラート
ログインアラート

更新通知

WordPress・プラグイン・テーマに更新があることをメールで通知してくれる機能です。

デフォルトでは「ON」になっていますが、更新通知が不要な方は「OFF」に変更してもよいでしょう。

更新通知
更新通知

管理ページアクセス制限

ログインしたときのみ管理者ページへの接続を許可し、ログインしていない接続元IPアドレスからのアクセスは制限する(404エラー)機能です。

デフォルトでは「OFF」になっています。

管理ページアクセス制限
管理ページアクセス制限

フェールワンス

正しいログイン情報を入力したとしても、1回目は必ずエラーにする機能です。

デフォルトでは「OFF」になっています。

フェールワンス
フェールワンス

WAFチューニングサポート

WAFの除外ルールを作成することで、WordPressでの誤検出を防ぎつつ、WAF機能を活用することができます。

ただしWebサーバにWAF(JP-Secureの「SiteGuard Lite」)が導入されている必要があります。

WAFチューニングサポート
WAFチューニングサポート

詳細設定

IPアドレスの取得方法を設定します。

詳細設定
詳細設定

ログイン履歴

こちらでは過去のログイン履歴を確認することができます。

ログイン履歴
ログイン履歴

ログインできなくなった場合の緊急対処法

「SiteGuard WP Pligin」を導入後に何かしらの問題が発生し、"どうやっても管理者ページにログインできない"状態になると困りますよね。

そもそもログインできないから設定変更もできないし・・

どうすることもできないんだけど。(困)

そのような場合はFTPソフトを使い、以下の手順でプラグインを一旦無効化しましょう。

①FTPソフトでサイトにログインする。

②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。

③ここにある「siteguard」というディレクトリ名を別の名称に変更する

④リネームしたことで「SiteGuard WP Pligin」プラグインは無効になる。

これでプラグイン導入以前の状態に戻りますので、「ドメイン名/wp-login.php」または「ドメイン名/wp-admin」にアクセスし、ユーザーID/パスワードでログインして適切な処置を行ってください。

まとめ

WordPressの管理者ページは簡単にURLが特定できるため、いつ不正アクセスの被害にあっても不思議ではありません。

ブログのセキュリティ対策として、今回ご紹介した「SiteGuard WP Plugin」はとても役に立つでしょう。

プラグインなので導入も簡単ですし、各種設定もあなたの希望に応じてカスタマイズしやすい構成になっています。

よかったら一度試してみてください。

さらにセキュリティを強化したいなら、WordPressに2段階認証を導入してみてはいかがでしょう。