SiteGuard WP Pluginは、ログイン強化することができ不正アクセスからWordPressを守るセキュリティプラグインです。
ログイン画面には誰でもアクセスできるため、不正アクセスの対象になりやすいです。そのため、セキュリティ対策が必須となります。
今回は、セキュリティ対策にピッタリなSiteGuard WP Pluginの使い方と設定方法を紹介します。
目次
SiteGuard WP Pluginのダウンロード
まず、WordPress管理画面にある「プラグイン」の「新規プラグイン」を選択します。
次に、右上にある検索ボックスに「SiteGuard WP Plugin」と入力します。
インストール後は「有効化」にしてください。すると、WordPress 管理画面に「SiteGuard」という項目が追加されます。
ログイン ページの変更について
このプラグインは、「有効化」するとログインページの変更が求められます。
ですのでログインできなくなった場合の対処法を紹介したいと思います。
変更後お知らせメール
まずは、新しいログインページのURLを管理者にメールでお知らせする機能からログインページのリンクを知ることができます。
これは、「WordPress: ログインページURLが変更されました」というタイトルで通知されます。
.htaccess ファイルを確認
もう1つは、FTPで直下にある「.htaccess」ファイルを開きます。(書き込み等はおこないません)そして、以下の記述を探してください。
RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]
この中にあるlogin_xxxxx という部分が新しいログインページの名前となります。
では、設定と使い方の紹介をおこないます。
SiteGuard WP Pluginの設定と使い方
それではまず、管理画面から「SiteGuard」を選択します。すると「ダッシュボード」が表示されます。
これは、設定項目と現在の状況が簡易的に確認できます。それでは順番に確認していきます。
管理ページアクセス制限
この機能は次のような特徴があります。
以上となっています。
除外パスは、これらの機能に対して対象外にするリストになります。/wp-admin/以降のパスを入力します。複数指定する場合は、改行で区切ってください。
デフォルトでは、「無効」になっていますが「有効」にしましょう。
ログイン ページ変更
この機能は次のような特徴があります。
以上となっています。
なお、オプションにはチェックを入れましょう。
これは、管理ページ(/wp-admin/)にアクセスすると変更後のログインページにリダイレクトしてしまいます。せっかく変更したURLがバレてしまいます。
ですので、コレを防ぐために「管理画面からログイン画面にリダイレクトしない。」はチェックを必ず入れましょう。そして、変更したURLは必ずブックマークなどしましょう。
ログインページがわからなくなった場合は<<ログインページの変更について>>を確認
デフォルトでは、「有効」になっています。「管理画面からログイン画面にリダイレクトしない。」はチェックを入れましょう。
画像認証
この機能は次のような特徴があります。
以上となります。
この機能を使用することで、ログインページやコメントページなどに画像認証を表示することができます。必要に応じて設定してください。
ただし、「reCAPTCHA」など別のプラグインなど既に使用されている場合は、バッティングする可能性があるので「無効」にしましょう。
デフォルトでは、「有効」になっています。別のプラグインなど使用している場合は、必要な内容だけ「有効」か「無効」にしてください。
ログイン 詳細エラーメッセージの無効化
この機能は次のような特徴があります。
これは、ログインに失敗した時のエラーメッセージを変更する機能です。
例えば、間違っているのはユーザー名なのか、またはパスワードなのかなどエラーメッセージからわかるようになっていますが、それらをわからないようなエラーメッセージに変更してくれます。
デフォルトでは、「有効」になっています。そのままで良いでしょう。
ログイン ロック
この機能は次のような特徴があります。
以上となります。
この機能は、期間、回数、ロック期間を選択して設定します。
デフォルトでは、「有効」になっています。そのままで良いでしょう。(お好みで設定しても可)
ログイン アラート
この機能は次のような特徴があります。
以上となっています。
サブジェクト(タイトル)とメール本文が設定できます。用意されている変数を使用すること必要な情報が取得できます。
デフォルトでは、「有効」になっています。そのままで良いでしょう。
フェールワンス
この機能は次のような特徴があります。
以上となっています。
その名の通り「正しい入力を行っても、ログインを一回失敗する」というものです。
デフォルトでは、「無効」になっています。お好みで「有効」にしましょう。
XMLRPC防御
この機能は次のような特徴があります。
以上となっています。
この機能では、ピンバック機能もしくはXMLRPC全体の無効化を選択することができます。
ピンバック機能とは
投稿へのリンクが設置された際に通知を受け取る(受け付ける)ことができる機能のことをいいます。
XMLRPCとは
遠隔でWordPressと通信をするための規格の1つです。
ちなみに、XMLRPC 全体を無効化するとXMLRPC を使用したプラグインやアプリの使用ができなくなります。
ですが、悪用されるリスクを考えると「XMLRPC無効化」にチェックを入れるべきでしょう。
デフォルトでは、「有効」になっています。「XMLRPC無効化」にチェックを入れてください。
ユーザー名漏えい防御
この機能は次のような特徴があります。
以上となっています。
REST APIとは
他のWEBシステムを外部から利用するためAPI(アプリケーション・プログラミング・インタフェース)
こちらも、XMLRPC と同様に無効化するとREST APIを使用したプラグインの動作に影響がでます。
ですが、悪用されるリスクから「REST API 無効化」にチェックを入れましょう。また、影響がでるプラグインについては「除外プラグイン」に追加すること回避可能です。
デフォルトでは、「無効」になっています。「有効」にして「REST API 無効化」にチェックを入れます。必要であれば「除外プラグイン」の追加設定をおこないましょう。
更新通知
この機能は次のような特徴があります。
以上になります。
これは、WordPress・プラグイン・テーマについて更新情報がある場合に、メールで通知するという機能です。
メールの宛先変更は、WordPress管理画面にある「ユーザー」の「ユーザー一覧」にあるの各ユーザーにカーソルをあわせると「編集」と「表示」があらわれるため「編集」を選択します。
すると、「プロフィール」に移動するので項目にある「メール」を変更しましょう。
デフォルトでは、「無効」になっています。お好みで「有効」にしましょう。
WAFチューニングサポート
それでは最後になります。この機能は次のような特徴があります。
以上になります。
こちらの機能は、利用してるホスティングサーバー(Webサーバー)にこの機能が導入されている場合は使用できます。
利用できるWebサーバーとして「さくらのレンタルサーバー」があります。利用されている方はぜひこのプラグインを利用してみてください。
さくらのレンタルサーバー
https://rs.sakura.ad.jp/
デフォルトでは、「無効」になっています。「さくらのレンタルサーバー」を利用されている方は「有効」にしても良いでしょう。
ログイン 履歴
最後に、ログインの履歴についてです。
ステータスは、日時、結果、ログイン名、IPアドレス、タイプの項目で表示します。
結果には、成功、失敗、ロック、フェールワンスの4種類が存在します。
タイプには、ログインページ、XMLRPCの2種類があります。
まとめ
いかがだったでしょうか。今回はログインを強化するSiteGuard WP Plugin について紹介しました。
設定方法についてもシンプルでわかりやすい仕様になっているため扱いやすいプラグインではと思います。ただし、ログインページ名を変更した場合は注意が必要です。
ここまでお読みいただき、ありがとうございました。
コメント