こんにちはIwalogです!
今回は、WordPressの必須プラグインの一つ「SiteGuard WP Plugin」を紹介したいと思います。
この記事で学べること
- SiteGuard WP Pluginの基本的な機能
- インストールから設定までの手順
目次
SiteGuard WP Pluginでできること
「SiteGurd WP Plugin」 は、セキュリティ対策のプラグインです。
WEBアプリケーションの脆弱性を悪用するサイバー攻撃から、WEBサイトを保護してくれます。
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
などの攻撃から、WEBサイトを守ってくれます。
SiteGuard WP Pluginのインストール
まずは、SiteGuard WP Pluginをインストールします。
ワードプレスの管理画面からスタートです。
有効化すると、上記のようなメッセージが表示されます。
有効化と同時にログインURLが自動的に変更されてしまうので、
メッセージ通り新しいURLをブックマーク、もしくはメモしておきましょう。
- 有効化前のURL https://ドメイン/wp-login.php
- 有効化後のURL https://ドメイン/login_ランダムな数字
SiteGuard WP Plugin設定手順
それでは、設定を開始していきましょう。
ログインページ変更
インストールの手順で説明した、変更後のURLがここで確認できます。
ログインページの変更は、不正ログインに対するセキュリティを強化する機能です。
①「ログインページ変更」を選択します
②「ログインURL」を設定します(デフォルトでは、5桁の数字が設定されています)
※変更する場合は、推測されにくいURLを設定してください
③「オプション」にチェックを入れます
※チェックを入れておけば、/wp-admin/でアクセスされた場合に404Not Found と表示され、
変更後のログインページへリダイレクトされなくなります。
④「変更を保存」をクリックします
画像認証
画像認証は、ログインやコメントの投稿を行う際に文字列の入力を必須にする機能です。
画像認証の設定を行うことで、不正アクセスに対するセキュリティを強化することができます。
ひらがなと英数字を選択できますが、世界中で使用されている英数字よりも、
ひらがなを選択しておくほうが良いかなと思います。
ログインページの画像認証をONにすると、上記のような画像が表示されます。
こちらの機能は初期設定ででONになっているのでそのままで大丈夫です。
ログイン詳細エラーメッセージの無効化
ログインに関するエラーメッセージを全て同じにすることで、
ユーザー名の存在を調査する攻撃を受けにくくする機能です。
この機能を有効化しておけば、
ログイン画面で、「ユーザー名またはメールアドレス」「パスワード」「画像認証」のどの項目を間違えても上記のような同じメッセージが表示されます。
なので、どの項目を間違っているかは不明です。
有効化前だと、どの項目が間違っているかが表示されてしまいます。
メッセージが全て同じであれば、どの項目が間違っているかがわからないので、ログイン情報は把握されにくくなります。
セキュリティを強化する為にも、この項目はONにしておきましょう。
ログインロック
ログインロックは、不正ログインに対するセキュリティを強化する機能です。
一定期間にログインの失敗回数が指定の回数に到達した場合に、IPアドレスを元にロックをかけます。
デフォルトでONになっていますので、そのままにしておきましょう。
ログインアラート
ログインアラートは、WordPressにログインがある度に管理者にメールが届く機能です。
「サブジェクト」と「メール本文」はデフォルトのままで大丈夫です。
- %SITENAME% → サイト名
- %USERNAME% → ログインユーザー名
- %DATE% → ログイン日付
- %TIME% → ログイン時刻
が表示されます。
メール通知が不要な場合は、OFFにしておいても問題ないかと思います。
フェールワンス
フェールワンスは、セキュリティを強化する機能です。
正しいログイン情報を入力しても、1度ログインが失敗します。
第三者が正しいログイン情報でアクセスしても、一度ははじかれてしまうので、セキュリティをより強化したい場合は、ONに変更しても良いかと思います。
XMLRPC防御
XML RPC防御は、ピンバックもしくはXML RPCを無効化して悪用を防ぐ機能です。
デフォルトでは「ピンバック無効化」にチェックが入っていますが、そのままで大丈夫です。
- ピンバック → 他のブログからの通知を受け取る機能
- XMLRPC → WordPressの外側からWordPressをコントロールするための機能
ピンバックはスパムが多いので、無効化しておいた方が良いかと思います。
更新通知
更新通知は、WordPress、プラグイン、テーマそれぞれの最新バージョンがリリースされた時に、管理者にメールが届く機能です。
デフォルトの設定のままで問題ないかと思います。
WAFチューニングサポート
WAFチューニングサポートは、WAF(Web Application FireWall)の除外設定をする機能です。
Web Application FireWall → 不正な攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ
WordPressやプラグインの機能によっては、WAFが攻撃でないのに攻撃だと判断して、その機能をブロックすることがあります。
除外ルールを作成することで、その誤認知を防ぐことができます。
デフォルトでは、OFFになっていますがそのままで良いかと思います。
詳細設定
詳細設定は、IPアドレスの取得方法を設定する機能です。
デフォルトでは「リモートアドレス」にチェックが入っていますが、そのままで大丈夫です。
ログイン履歴
ログイン履歴の一覧を確認できる機能です。
設定はデフォルトのままで大丈夫です。
今日のまとめ
今回は、WordPressの必須プラグイン「SuiteGard WP Plugin」を紹介しました。
セキュリティを強化するためのプラグインになりますので、
それぞれの機能を理解した上で設定を行っていきましょう。
今回は以上です!
最後までお読み頂きありがとうございました!