こんな疑問にお答えします
- WordPressのログイン画面のセキュリティは大丈夫なの?
- WordPressのセキュリティを簡単に向上させたい
WordPressをインストールした後、ログイン画面から管理画面を表示しますよね。
最初の管理画面は「wp-admin」の固定のURLになっています。
固定URLのままだと他人でも簡単に管理画面のURLからログイン画面にアクセスできてしまいます。
この状態をそのままにしておくとログインの総当たり攻撃される可能性があります。
ですので、ログイン画面のセキュリティを向上させるプラグイン「SiteGuard WP Plugin」を入れましょう。
この「SiteGuard WP Plugin」を使うことで誰でも簡単にログイン画面のセキュリティを向上させることができます。
「SiteGuard WP Plugin」の導入手順から設定の内容まで分かりやすく解説していきます。
記事の内容
- SiteGuard WP Pluginとは?
- SiteGuard WP Pluginの特徴
- SiteGuard WP Pluginのインストール手順
- SiteGuard WP Pluginによるセキュリティ設定
- SiteGuard WP Pluginのまとめ
目次
SiteGuard WP Pluginとは?
SiteGuard WP Pluginとは、管理画面とログイン画面のセキュリティ保護のためのWordPressのプラグインです。
国産のプラグインで、完全に日本語に対応しています。
Webサイトに導入されているセキュリティソフトで、国内利用サイト数No.1という実績を持っています。
デフォルトの設定でも十分なセキュリティ性能があるため、セキュリティに詳しくない個人ユーザにも簡単に運用できるようになっています。
「SiteGuard WP Plugin」は、WordPress用に作成されているため簡単な設定だけでセキュリティを向上させることができます。
SiteGuard WP Pluginの特徴
「SiteGuard WP Plugin」では以下の攻撃に対してセキュリティを向上させることができます。
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
くわしく見ていきましょう。
不正ログイン
WordPressでは、ログイン画面でIDとパスワードを利用してログインします。
そのIDとパスワードを使って他人が不正にログインすることを「不正ログイン」と言います。
通常であれば、IDとパスワードは本人しか知りえない情報です。
しかし、なんらかの出来事によって情報が漏れた場合に、気付かないうちに使われていたなんてこともありえます。
この「不正ログイン」に対して「SiteGuard WP Plugin」は、ログインページのURL変更やログイン履歴のメール送信などによりセキュリティを向上させることができます。
管理ページへの不正アクセス
管理画面へ不正アクセスして、サイトの内容に対して攻撃される危険性がないともかぎりません。
というのも管理ページは「wp-admin」という固定のURLなので、管理画面で使っているプログラムの位置がわかります。
「SiteGuard WP Plugin」では、管理画面の配下にある悪意あるプログラムが使用されないように、既にあるプログラム以外は動作しないように設定することができます。
設定もデフォルトで自動的に必要なプログラムが入力されているので「ON」にするだけでセキュリティを向上させることができます。
コメントスパム
コメントスパムとは、ブログのコメントに記事と関係のないメッセージを書き込むことです。
メッセージの内容は、広告や人を傷つける内容も多いためあまり見たくありませんよね。
そういった迷惑なコメントスパムは、自動的に入力させるプログラムであることが多いです。
そのため、入力時に人が判断しないと難しいような画像認証などでコメントスパムの入力自体を防ぐことができます。
「SiteGuard WP Plugin」でも、画像認証にてコメントスパムを防ぐことができるようになっています。
SiteGuard WP Pluginのインストール手順
SiteGuard WP Pluginのインストール手順を解説していきます。
- 新規追加
- プラグイン検索
- プラグインのインストール
- プラグインの有効化
くわしく見ていきましょう。
新規追加からインストールまでの手順
①メニューから「プラグイン」→「新規追加」をクリックします。
②検索欄に「SiteGuard」と入力します。
③表示された「SiteGuard WP Plugin」の「今すぐインストール」をクリックします。
プラグインの有効化
プラグインのインストールが完了したら、「有効化」ボタンをクリックしましょう。
有効化が完了すると自動的に「プラグインの一覧」の画面が表示されます。
これでSiteGuard WP Pluginのインストールは完了です。
SiteGuard WP Pluginによるセキュリティ設定
それでは、SiteGuard WP Pluginのセキュリティ設定を行っていきましょう。
セキュリティ設定内容
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
くわしく見ていきましょう。
管理ページアクセス制限
管理画面へのアクセスを制限させる機能です。
デフォルトでは「OFF」になっています。
制御するためのIPアドレスの仕組みなどがわかっていないと最悪ログインできない状態になります。
そのため、サーバーに詳しくない人は「管理ページアクセス制限」はOFFのままで問題ありません。
ログインページ変更
ログイン画面のURLを変更することができる機能です。
デフォルトでは「ON」になっています。
え?
SiteGuard入れたけどログイン画面は管理画面のURLで表示されたよ?
と、思われた人もいるかもしれませんが、それはオプションによる制御が効いているためです。
オプションでは、「管理ページからログインページにリダイレクトしない」が「OFF」になっています。
指定したURLでのみログインしたい場合はオプションを「ON」にしましょう。
ONにした時は絶対に変更後のログインページ名を忘れないようにメモしておきましょう。
もし、ログインできなくなった場合はSiteGuard公式サイトのFAQを参考に対応してみてください。
画像認証
画像認証とは、ログインする時に画像が表示され、その画像に表示された文字を入力する認証方法です。
デフォルトでは「ON」になっています。
画像はプログラムでは解析するのが難しいように出来ているため攻撃を受けにくくなっています。
ログイン画面だけでなくコメントの入力にも画像認証できるため、コメントスパムにも対応されています。
画像認証機能は必ずONにしておきましょう。
そうすることで簡単にセキュリティに強いサイトが構築できます。
ログイン詳細エラーメッセージの無効化
ログインに失敗した時のエラーメッセージを同じメッセージにする機能です。
デフォルトでは「ON」になっています。
OFFにしていると、ユーザー名/パスワード/画像認証のそれぞれでメッセージが違います。
そのためどの項目が間違っているかを発見できてしまいます。
他人にログインに関する情報を与えないためにも「ログイン詳細エラーメッセージの無効化」は「ON」にしておきましょう。
ログインロック
ログインに失敗した時に、連続してログインされないようにロックをかけてくれる機能です。
デフォルトでは「ON」になっています。
プログラムでのログイン攻撃は短い時間に何度もログインを試してきます。
「ログインロック」機能がONになっていれば簡単にログイン攻撃を防ぐことができます。
連続で失敗した期間、回数、ロックする時間を選択できます。
セキュリティに詳しくない人はデフォルトのままにしておきましょう。
ログインアラート
ログインした時に、登録しているメールへログインした時の内容を送信する機能です。
デフォルトで「ON」になっています。
管理している人が複数いる人や、頻繁にログインを繰り返すと大量のログインのメールが届きます。
そういった利用をしている人は「OFF」にしたほうがいいかもしれませんね。
個人でブログを運営している人は、ブログを執筆するパソコンはある程度決まっていると思いますので、「ON」のままで問題ないでしょう。
フェールワンス
ログインする時にIDやパスワードが正しくても必ず1度失敗させるための機能です。
デフォルトでは「OFF」になっています。
なぜ1度失敗させるのかというと、「パスワードリスト攻撃」を防ぐためです。
個人情報の漏洩などでログイン情報(IDやパスワード)が他人に漏れてしまった場合を想定してみてください。
漏洩したログイン情報を入力すればログインできてしまいますよね。
その時にログインに失敗することで諦めてくれるというわけです。
フェールワンスを想定したプログラムには効かない場合が多いです。
逆にサイト運営がこのことを忘れていた時の方が「え?」ってなるので、運営を始めたばかりの人はOFFで問題ないでしょう。
XMLRPC防御
WordPressには、スマホから記事を投稿するときなどに使う「XML-RPC」という機能があります。
このXML-RPC機能を悪用して外部から攻撃することができてしまうため、それを防ぐための「XMLRPC防御」機能になります。
デフォルトでは「ON」になっています。
XMLRPC機能に対して防御するために無効化する機能を選択することができます。
デフォルトの「ピンバック無効化」の設定のままにしておきましょう。
もうひとつの「XMLRPC無効化」にすると完全にXMLRPC機能が停止してしまうので影響がでてくる機能があります。
実を言うと、この「Mamito blog」もXML-RPC機能によってログイン攻撃を1度受けています。
その時にXMLRPC防御を有効にしていたため助かりました。
このように予期しない形で攻撃されるのでセキュリティには常に気を付けておきましょう。
更新通知
WordPress、プラグイン、テーマの更新情報を通知してくれる機能です。
デフォルトでは「ON」になっています。
更新がある場合はメールでお知らせが来ますので、WordPressにログインして確認しましょう。
WAFチューニングサポート
JP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合のみ有効な機能です。
WAFとは外部からの攻撃に対してルールに存在する内容で防御する機能です。
デフォルトでは「OFF」になっています。
「SiteGuard WP Plugin」のみでは、機能しないのでOFFのままにしておきましょう。
これでSiteGuard WP Pluginの設定は完了です。
SiteGuard WP Pluginのまとめ
サイトを運営していくためにはセキュリティは常に気にしておきましょう。
いつどこで攻撃を受けるかは分からないので準備をしておくことで安心してブログを執筆することができます。
セキュリティを強くしていくことで、あなたのサイトの評価はいい方向に向かっていくことでしょう。
WordPressには、「SiteGuard WP Plugin」以外にもたくさんのプラグインがあります。
最初に入れておきたいプラグインを別の記事にまとめていますので、こちらも参考にしてみてください。