【SiteGuard WP Plugin】で不正ログインやコメントスパムからサイトを守る
Wordpressでサイト運営をするなら、セキュリティー対策のプラグインは必ずインストールしておきたいですね。【SiteGuard WP Plugin】はインストールするだけで、不正ログインやコメントスパムを防いでくれるシンプルなプラグインです。
SiteGuard WP Pluginのセキュリティ対策とは
サイトの不正アクセスやコメントスパム、自分にはあまり関係ないかなぁなんて思っていませんか。実は、Wordpressのログイン画面のセキュリティーは低めです。←あちゃ~
セキュリティ対策をしていないサイトでは、比較的簡単にログイン画面を開くことができますし、ユーザー名がわかれば、やみくもにパスワード入力を繰り返すうちに、案外ログインできちゃうなんてこともあります。これがまた、パソコンやWordpressに詳しくないという人でもできるくらい。
ウェブ上ではボットを使ったブルートフォースアタック(総攻撃)と呼ばれる不正アクセスも少なくありません。そんな不正ログインの攻撃からサイトを守ってくれるのが【SiteGuard WP Plugin】です。早速インストールしてみましょう。
【SiteGuard WP Plugin】のインストール
https://ja.wordpress.org/plugins/siteguard/
ダッシュボードからインストールする方法。
「プラグイン」→「新規追加」→キーワードに「SiteGuard WP Plugin」と入力します。「今すぐインストール」をクリックして、「有効化」します。
SiteGuard WP Pluginの設定
ダッシュボードの一番下に「Site Guard」のメニューがあるはずです。(「メニューを閉じる」の上です)【SiteGuard WP Plugin】の設定はこちらをクリックします。それぞれ設定したい項目にチェックをいれてくださいね。
管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更
チェックを入れてログインページ名を変更します。
デフォルトでは、wordpressのログイン画面のURLは以下のように固定されています。
「http://●●●.com/wp-login.php」(フォルダ直下にwordpressをインストールした場合)
別フォルダ内にwordpressをインストールした場合は、ドメインのうしろにフォルダ名が入ります。
例えば、wp1というフォルダ内にwordpressをインストールした場合は、以下のようになります。
「http://●●●.com/wordpress1/wp-login.php」
このようにデフォルトのログインページは、比較的簡単に開くことができるようになっています。
万一、ログイン画面のURLを忘れても開くことができるというメリットもありますが、一方で他の人も開けるということになります。
Wordpressの中・上級者の多くは、ログイン画面のURLを変更する対策をしています。(プラグインを利用しなくてもログイン画面のURL変更は可能です)そのため、ログイン画面をデフォルトのままサイトは初心者と思われがち。セキキュリティ対策が低いイメージを与えて、不正ログインの攻撃にあいやすいとも言えます。
【SiteGuard WP Plugin】をインストールすると、このログインページのURLが変更になります。自動的に割り振りされるURLになるため、他人が特定するのが難しくなります。
画像認証
チェックを入れて、ログインページ、コメント投稿に画像認証を追加します。ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページのそれぞれに「ひらがな」と「英数字」の画像を選んで設定することができます。海外からの不正ログイン対策を考えると、ひらがな画像が推奨です。
ログイン詳細エラーメッセージの無効化
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。ユーザー名を表示しないようにします。かゆいところに手が届く対応ですね。
ログインロック
ログインに数回失敗すると、同じIPアドレスからのログインを一定期間ロックします。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
ログインアラート
ログインがあったことを、メールで通知します。ログインした心当たりがないのにメールを受信した場合は、不正ログインの可能性もあります。ログイン履歴をチェックしてみましょう。
サブジェクト、本文をカスタマイズすることもできます。
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
好きな子に告白されて、一度断ってみる的な?
あなたの愛を確かめたいの、的な?
不正アクセスであれば、失敗後にもう一度同じパスワードでログインしようと思いませんものね。
XMLRPC防御
XMLRPCの悪用を防ぎます。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
メール通知
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
WordPressの更新、プラグインの更新、テーマの更新の際に、それぞれメール通知が必要かどうか設定できます。メールでの通知がいらない場合は、「無効」にチェックをいれてください。
WAF チューニングサポート
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されていると、WordPress内でエラー発生したり、正常にサイトが表示されないことがあります。(正常なアクセスなのに、403エラーが発生する等)それを防ぐためにルールを作成する機能になります。
特に問題がなければ必要ありません。
ロリポップサーバーでは、WAF ( SiteGuard Lite ) が設定されているため、SiteGuard WP Pluginを設定するとエラーが起こります。対処法は、別ページで。
詳細設定
IPアドレスの取得方法を設定します。デフォルトで「リモートアドレス」が選択されています。通常はリモートアドレスを選択してください。
ログイン履歴
クリックでログインの履歴が参照できます。すべてのログインの日時、ユーザー名、IPアドレスなどが記録されています。不正なアクセスがあれば、ここでわかります。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。
ログイン画面URLをお気に入りに登録
SiteGuard WP Pluginをインストールすると、ログイン画面のURLが変わります。新しいURL画面は忘れないように、お気に入りに登録しておきましょう。
時々、ログイン履歴で不正ログインをチェックしてみてください。SiteGuard WP Pluginがあなたのサイトをしっかり守ってくれていることがわかりますよ(^^♪