この記事では、誰でも簡単にセキュリティ対策を強化できるよう「SiteGuard WP Plugin」に必要な設定手順を一つひとつ丁寧に解説します。ぜひ最後までお読みいただき、安全なサイト運営に役立ててください。
そもそも「SiteGuard WP Plugin」てなに?
こんな悩みを解決します。
[SiteGuard WP Plugin]の設定方法
[SiteGuard WP Plugin]は以下のステップで設定します。
※WordPressの開設方法によっては初めから「SiteGuard WP Plugin」がインストールされている場合があります。
その場合は2ステップでおしまいです。
「SiteGuard WP Plugin」をインストール
まずは「SiteGuard WP Plugin」をインストールしましょう。
WordPressメニューから[プラグイン]へ進み[新規プラグイン追加]を押してプラグインの検索画面へと進みます。
検索画面へと進んだら検索窓を利用して「SiteGuard WP Plugin」を検索し、[今すぐインストール]を押して「SiteGuard WP Plugin」をWordPressにインストールさせます。
上のテキストがコピーできるよ!
「SiteGuard WP Plugin」を有効化
「SiteGuard WP Plugin」がインストール出来たら[有効化]しましょう。
※「SiteGuard WP Plugin」を有効化すると、WordPressへのログイン画面URLが変更されます。[有効化]後はログイン画面URLを控えておくことをおすすめします。
有効化画面からWordPressを開きなおしてそのままブックマークしましょう。
「URLがわからなくなった」とい場合もあせらくて大丈夫です。
ログインURLの確認方法
サーバーから確認ができますよ。
※「SiteGuard WP Plugin」を有効化したばかりのログインURLは「https://対象のドメイン/login_5桁の番号」という形になっています。つまり、その5桁の番号さえわかれば、WordPressのログイン画面を開けるということです。
ConoHaWINGを使って解説します。
まずはConoHaWINGのコントロールパネルを開き、[サイト管理]から対象のドメインに切り替えます。その後、[サイト設定]→[応用設定]へとすすみ[.htaccess設定]を開くと「wp-login.php」を確認できます。
5桁の番号が確認出来たら指定の形に置き換えるとOKです。
「SiteGuard WP Plugin」設定変更
デフォルトから設定を変更するとさらにセキュリティーが向上します。
WordPressメニューから[SiteGuard]→[ダッシュボード]へと進めると、「SiteGuard WP Plugin」を有効化したデフォルトの設定状況を確認できます。
SiteGuard設定項目 | 意味 |
---|---|
管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
ログインページ変更 | ログインページ名(URL)を変更します。 |
エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
ログインアラート | ログインがあったことを、メールで通知します。 |
フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
ユーザー名漏えい防御 | ユーザー名の漏えいを防ぎます。 |
更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
ログイン履歴 | ログインの履歴が参照できます。 |
※「SiteGuard WP Plugin」を有効化するとセキュリティー面が向上します。デフォルトのままでも問題はありません。ですが、いくつかの設定を行うと、さらにセキュリティー向上ができます。
任意ですが、できれば下記の設定までしておきましょう。
管理ページアクセス制限
まずは[管理ページアクセス制限]を有効化しましょう。
[管理ページアクセス制限]の設定ページを開き、[有効]→[変更を保存]を押すと設定が変更されます。
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
引用元:SiteGuard
どういう意味かというと…
WordPress管理画面へのURL(https://対象のドメイン/wp-admin/)は基本的に開けなくなるということです。要は、「SiteGuard WP Plugin」を有効化したあとのログインURL(https://対象のドメイン/login_5桁の番号)がわからないとログインができなくなってしまうということです。
1度ログインすれば接続元が同じなら24時間は開けます。
ログインページ変更
次は[ログインページ変更]です。
ここでは、「SiteGuard WP Plugin」を有効化した後のログインURL(https://対象のドメイン/login_5桁の番号)を任意で変更することができます。
[ログインページ変更]の設定画面を開き[有効]のまま[変更後のログインページ]の文字列(login_5桁の番号)を好きな文字列に変更し、オプションにチェックを入れて[変更を保存]します。
※「変更を保存」すると、WordPressへのログイン画面URLが変更されます。
ログインロック
ログインロックはブルートフォース攻撃、リスト攻撃等に有効です。
※ブルートフォース攻撃とは、パスワードのパターン全てを入力するという、日本語では「総当たり攻撃」と訳される、暗号解読や認証情報取得の手法です。
※リスト攻撃とは、不正に入手した「IDやパスワード」を利用して、不正アクセスを図る攻撃手法のことです。
ログインロックは、何度もログインに失敗すると一時的に接続元IPアドレスを指定時間ブロックする機能です。デフォルトでは緩い設定になっているので、強化しておくことを推奨します。
[ログインロック]の設定画面を開き[有効]のまま期間[30秒]回数[3回]ロック時間[5分]にチェックをつけて[変更を保存]しましょう。
XMLRPC防御
次は「XMLRPC防御」です。
XMLRPCとは、スマートフォンアプリでのWordPress管理や一部のプラグインで使用されている外部からWordPressをリモート(遠隔)操作を行うためのものです。基本的に決まったブラウザで管理、編集する場合は有効にしておく必要もないので無効化しておきましょう。
[XMLRPC防御]の設定画面を開き[有効]のまま[XMLRPC無効化]にチェックをつけて[変更を保存]しましょう。
※一部プラグインに不具合が起きる場合もあります。その場合は不具合が起きたプラグインを諦めるか、[ピンバック無効化]に戻すか、設定自体を[無効]にするかの検討が必要です。
ユーザー名漏えい防御
次は「ユーザー名漏えい防御」です。
WordPressのデフォルトではサイトURL/?author=0や/?author=1と検索するとユーザー名が表示されるようになっています。ユーザー名がわかるとパスワードを当てるだけでWordPressのログインが可能です。これでは、上記で紹介したブルートフォース攻撃の的になります。なにか拘りがなければ隠しておきましょう。
[ユーザー名漏えい防御]の設定画面を開き[有効]に設定し[変更を保存]しましょう。
また、REST API によるユーザー名の漏えいを防止するため、REST API を無効化することができます。REST API の無効化によって動作しないプラグインが存在する場合には、除外プラグインのリストにプラグイン名を追加してください。
引用元:SiteGuard
WordPressはサイトURL/wp-json/wp/v2/usersと検索するとユーザー名(ID)の確認が可能です。そこでの漏えいを防止する機能が、「REST API 無効化」です。この機能を利用すると動作しなくなるプラグインが出てきます。その場合は個別で除外設定が必要です。
ただし、「REST API」を利用しているのはプラグインだけではありません。その場合は個別でコードを書く必要が出てきます。よくわからないという場合はデフォルトのままチェックを外しておきましょう。
僕もよくわからないので外してます。
まとめ:安全なサイト運営への一歩
「SiteGuard WP Plugin」は、簡単に導入できる強力なセキュリティ対策プラグインです。本記事では、その設定方法を詳細に解説しました。初めて利用する方でも、手順に沿って進めれば、短時間でWordPressサイトのセキュリティを強化できます。特に、ログインURLの変更や管理ページアクセス制限、ログインロックなどの設定は、不正アクセスからサイトを守るために非常に有効なものです。
WordPressサイトのセキュリティを向上させて、安全なサイト運営を心がけましょう。
お疲れ様でした。
コメント