SiteGuard セキュリティ
       
         

【ログイン強化】SiteGuard WP Pluginでセキュリティ対策

SiteGuard WP Pluginは、ログイン強化することができ不正アクセスからWordPressを守るセキュリティプラグインです。

ログイン画面には誰でもアクセスできるため、不正アクセスの対象になりやすいです。そのため、セキュリティ対策が必須となります。

今回のポイント
  • ログイン画面は誰でもアクセスができてしまう
  • セキュリティ対策でログイン強化が必須

今回は、セキュリティ対策にピッタリなSiteGuard WP Pluginの使い方と設定方法を紹介します。

SiteGuard WP Pluginのダウンロード

まず、WordPress管理画面にある「プラグイン」の「新規プラグイン」を選択します。

【Wordpress管理画面】新規プラグインを追加

次に、右上にある検索ボックスに「SiteGuard WP Plugin」と入力します。

【プラグイン】SiteGuard WP Plugin

インストール後は「有効化」にしてください。すると、WordPress 管理画面に「SiteGuard」という項目が追加されます。

ログイン ページの変更について

このプラグインは、「有効化」するとログインページの変更が求められます。

【SiteGuard】ログインページの変更画面

ですのでログインできなくなった場合の対処法を紹介したいと思います。

変更後お知らせメール

まずは、新しいログインページのURLを管理者にメールでお知らせする機能からログインページのリンクを知ることができます。

これは、「WordPress: ログインページURLが変更されました」というタイトルで通知されます。

.htaccess ファイルを確認

もう1つは、FTPで直下にある「.htaccess」ファイルを開きます。(書き込み等はおこないません)そして、以下の記述を探してください。

RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]

この中にあるlogin_xxxxx という部分が新しいログインページの名前となります。

FTPソフトの定番FFFTPを使ってみる
FTPソフトの定番、FFFTPを使ってみた。導入からアップロード、ダウンロードの操作方法まで画像付きで紹介します。

では、設定と使い方の紹介をおこないます。

SiteGuard WP Pluginの設定と使い方

それではまず、管理画面から「SiteGuard」を選択します。すると「ダッシュボード」が表示されます。

【SiteGuard】ダッシュボード

これは、設定項目と現在の状況が簡易的に確認できます。それでは順番に確認していきます。

管理ページアクセス制限

この機能は次のような特徴があります。

  • 管理ページ(/wp-admin/以降)に対する攻撃から防御します
  • ログインが行われていない接続元からのアクセスは、404(Not Found)で返します
  • ログインすると、接続元IPアドレスがアクセス許可として登録される
  • 24時間以上ログインが行われない接続元IPアドレスは、順次削除される

以上となっています。

【SiteGuard】管理ページアクセス制限

除外パスは、これらの機能に対して対象外にするリストになります。/wp-admin/以降のパスを入力します。複数指定する場合は、改行で区切ってください。

デフォルトでは、「無効」になっていますが「有効」にしましょう。

ログイン ページ変更

この機能は次のような特徴があります。

  • ブルートフォース攻撃(総当たり攻撃)、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能
  • ログインページ(wp-login.php)の名前を変更
  • 初期値は、「login_<5桁の乱数>」だけど「任意の名前」が設定可能

以上となっています。

【SiteGuard】ログイン ページ変更

なお、オプションにはチェックを入れましょう。

これは、管理ページ(/wp-admin/)にアクセスすると変更後のログインページにリダイレクトしてしまいます。せっかく変更したURLがバレてしまいます。

【ログイン】ログイン画面にリダイレクトの説明

ですので、コレを防ぐために「管理画面からログイン画面にリダイレクトしない。」はチェックを必ず入れましょう。そして、変更したURLは必ずブックマークなどしましょう。

ログインページがわからなくなった場合は<<ログインページの変更について>>を確認

デフォルトでは、「有効」になっています。「管理画面からログイン画面にリダイレクトしない。」はチェックを入れましょう。

画像認証

この機能は次のような特徴があります。

  • ブルートフォース攻撃(総当たり攻撃)、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能
  • 画像認証の文字は、ひらがなと英数字が選択可能

以上となります。

【ログイン】画像認証

この機能を使用することで、ログインページやコメントページなどに画像認証を表示することができます。必要に応じて設定してください。

ただし、「reCAPTCHA」など別のプラグインなど既に使用されている場合は、バッティングする可能性があるので「無効」にしましょう。

デフォルトでは、「有効」になっています。別のプラグインなど使用している場合は、必要な内容だけ「有効」か「無効」にしてください。

ログイン 詳細エラーメッセージの無効化

この機能は次のような特徴があります。

  • ユーザー名の存在を調査する攻撃を受けにくくするための機能
  • ログインに関するエラーメッセージがすべて同じ内容となる

これは、ログインに失敗した時のエラーメッセージを変更する機能です。

例えば、間違っているのはユーザー名なのか、またはパスワードなのかなどエラーメッセージからわかるようになっていますが、それらをわからないようなエラーメッセージに変更してくれます。

【SiteGuard】ログイン詳細エラーメッセージの無効化

デフォルトでは、「有効」になっています。そのままで良いでしょう。

ログイン ロック

この機能は次のような特徴があります。

  • ブルートフォース攻撃(総当たり攻撃)、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能
  • 機械的な攻撃からは効力を発揮します
  • ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロック
  • ユーザーアカウント毎のロックはおこなわない

以上となります。

【SiteGuard】ログイン ロック

この機能は、期間、回数、ロック期間を選択して設定します。

デフォルトでは、「有効」になっています。そのままで良いでしょう。(お好みで設定しても可)

ログイン アラート

この機能は次のような特徴があります。

  • 不正なログインに気づきやすくするための機能
  • ログインすると、ログインユーザーにメールが送信

以上となっています。

【SiteGuard】ログイン アラート

サブジェクト(タイトル)とメール本文が設定できます。用意されている変数を使用すること必要な情報が取得できます。

デフォルトでは、「有効」になっています。そのままで良いでしょう。

フェールワンス

この機能は次のような特徴があります。

  • リスト攻撃を受けにくくするための機能
  • 正しいログイン情報を入力しても、1回だけログインが失敗する
  • 5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインすることができる

以上となっています。

【SiteGuard】フェールワンス

その名の通り「正しい入力を行っても、ログインを一回失敗する」というものです。

デフォルトでは、「無効」になっています。お好みで「有効」にしましょう。

XMLRPC防御

この機能は次のような特徴があります。

  • Pingback 機能の無効化
  • XMLRPC 全体( xmlrpc.php )の無効化

以上となっています。

【SiteGuard】XMLRPC防御

この機能では、ピンバック機能もしくはXMLRPC全体の無効化を選択することができます。

ピンバック機能とは

投稿へのリンクが設置された際に通知を受け取る(受け付ける)ことができる機能のことをいいます。

XMLRPCとは

遠隔でWordPressと通信をするための規格の1つです。

ちなみに、XMLRPC 全体を無効化するとXMLRPC を使用したプラグインやアプリの使用ができなくなります。

ですが、悪用されるリスクを考えると「XMLRPC無効化」にチェックを入れるべきでしょう。

デフォルトでは、「有効」になっています。「XMLRPC無効化」にチェックを入れてください。

ユーザー名漏えい防御

この機能は次のような特徴があります。

  • “author=数字”のアクセスによるユーザー名漏を防ぎます
  • 「REST API」によるユーザー名の漏洩を防止します

以上となっています。

【SiteGuard】ユーザー名漏えい防御

REST APIとは

他のWEBシステムを外部から利用するためAPI(アプリケーション・プログラミング・インタフェース)

こちらも、XMLRPC と同様に無効化するとREST APIを使用したプラグインの動作に影響がでます。

ですが、悪用されるリスクから「REST API 無効化」にチェックを入れましょう。また、影響がでるプラグインについては「除外プラグイン」に追加すること回避可能です。

デフォルトでは、「無効」になっています。「有効」にして「REST API 無効化」にチェックを入れます。必要であれば「除外プラグイン」の追加設定をおこないましょう。

更新通知

この機能は次のような特徴があります。

  • 管理者にメールで通知します
  • 通知内容は、WordPress、プラグイン、テーマの更新です

以上になります。

【SiteGuard】更新通知

これは、WordPress・プラグイン・テーマについて更新情報がある場合に、メールで通知するという機能です。

メールの宛先変更は、WordPress管理画面にある「ユーザー」の「ユーザー一覧」にあるの各ユーザーにカーソルをあわせると「編集」と「表示」があらわれるため「編集」を選択します。

【WordPress管理画面】ユーザー

すると、「プロフィール」に移動するので項目にある「メール」を変更しましょう。

デフォルトでは、「無効」になっています。お好みで「有効」にしましょう。

WAFチューニングサポート

それでは最後になります。この機能は次のような特徴があります。

  • WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に使用が可能
  • WordPress内での誤検知を回避するためのルールを作成する機能
  • 除外ルールを作成することで、特定の機能での誤検知を防ぐことができる

以上になります。

【SiteGuard】WAFチューニングサポート

こちらの機能は、利用してるホスティングサーバー(Webサーバー)にこの機能が導入されている場合は使用できます。

利用できるWebサーバーとして「さくらのレンタルサーバー」があります。利用されている方はぜひこのプラグインを利用してみてください。

さくらのレンタルサーバー
https://rs.sakura.ad.jp/

デフォルトでは、「無効」になっています。「さくらのレンタルサーバー」を利用されている方は「有効」にしても良いでしょう。

ログイン 履歴

最後に、ログインの履歴についてです。

ステータスは、日時、結果、ログイン名、IPアドレス、タイプの項目で表示します。

【SiteGuard】ログイン 履歴

結果には、成功、失敗、ロック、フェールワンスの4種類が存在します。

タイプには、ログインページ、XMLRPCの2種類があります。

まとめ

いかがだったでしょうか。今回はログインを強化するSiteGuard WP Plugin について紹介しました。

設定方法についてもシンプルでわかりやすい仕様になっているため扱いやすいプラグインではと思います。ただし、ログインページ名を変更した場合は注意が必要です。

今回のポイント
  • ログイン画面は誰でもアクセスができてしまう
  • セキュリティ対策でログイン強化が必須

ここまでお読みいただき、ありがとうございました。

コメント

タイトルとURLをコピーしました