個人でWordPressサイトを運営していると、乗っ取り被害(ハッキング・不正アクセス)にあった時、今までの苦労が水の泡になってしまいます。
このような被害に遭わないためにも、個人で自己防衛をする必要があるわけです。
その中でも「SiteGuard WP Plugin」は、「管理・ログイン」画面からの攻撃を防いでくれるプラグインなので、これを使ってセキュリティ面を強化したいと思います!
「SiteGuard WP Plugin」は何ができる?
「SiteGuard WP Plugin」は、WordPressサイトの安全性を強化することができる、セキュリティ系プラグインです。
このプラグインは、
- 不正ログインを防止
- 管理ページ(/wp-admin/)への不正アクセスを防止
- コメントスパムを防止
など、「管理ページ・ログインページ」への不正な攻撃を防いでくれるので、インストールしておいた方が良いです!
「SiteGuard WP Plugin」の機能13選
「SiteGuard WP Plugin」は、以下13のセキュリティ機能が搭載されているので安心です。
- 管理ページアクセス制限
- ログインページ変更
- 画面認証システム導入
- ログイン詳細エラーメッセージ
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- ユーザー名漏えい防御
- 更新通知
- WAFチューニングサポート
- IPアドレス取得方法
- ログイン履歴
①.管理ページへのアクセスを制限する
管理ページ(/wp-admin/以降)に対する攻撃を防御する機能です。
②.ログインページ(URL)を変更する
ログインページのURLを自分の好きな文字列に変更することができる機能です。
③.画面認証システムを導入する
「ログインページ・コメント投稿」画面に、4ケタの画像認証を追加する機能です。
④.ログイン詳細のエラーメッセージを細工する
ユーザー名を調査する攻撃を防ぐための機能です。
⑤.ログイン失敗を繰り返すとロックする
同一の接続元からの機械的なログイン試行を、一定期間ブロックする機能です。
【設定項目(ログインロック)】
【期間】
- 1秒
- 5秒(デフォルト)
- 30秒
【回数】
- 3回(デフォルト)
- 10回
- 100回
【時間】
- 30秒
- 1分(デフォルト)
- 5分
⑥.ログイン時にアラートをする
ログインすると、メールで通知してくれる機能です。
⑦.「フェールワンス」で故意にログインを失敗させる
正しいログイン情報を入力しても、1度だけ失敗させる機能です。
⑧.「XMLRPC防御」機能でセキュリティをさらに強化させる
DDoS攻撃や、ブルートフォース(総当り)攻撃を無効化することができる機能です。
⑨.「ユーザー名漏えい防御」でログインIDが隠せる
ログインをするには「IDとパスワード情報」を必要としますが、対策をしていないとログインIDは誰でも知ることができます。そのログインIDを隠すことができる機能です。
ログインIDを知る方法は、サイトURLの後に「?author=1」を入力します。
【例】 https://(ドメイン名)/?author=1
すると、対策をしていないと「?author=1」の部分がログインIDに変わって見ることができてしまいます。
しかし「パスワードを複雑にする・2段階認証にする」といった対策をすれば、そこまで必須ではないみたいです。
⑩.「更新通知」機能で更新があったら直ぐにわかる
WordPress「プラグイン・テーマ」の更新があったらメールで教えてくれる機能です。
⑪.「WAFチューニングサポート」
Webサーバーに「JP-Secure製WAF(SiteGuard Server Edition)」を導入していて、正常なアクセスがWAFによって遮断される場合に、無効化するためのルールを作成する機能です。
ウェブアプリケーションの脆弱性を悪用する攻撃から、ウェブアプリケーションを保護するためのセキュリティ対策です。
⑫.「IPアドレス取得方法」
IPアドレスの取得方法を設定することができる機能です。
リモートアドレス (デフォルト)
X-Forwarded-For レベル:1
X-Forwarded-For レベル:2
X-Forwarded-For レベル:3
・通常は「デフォルトアドレス」を選択する。
・Webサーバーの前段に「プロキシーサーバーやロードバランサー」があり、リモートアドレスでクライアントのIPアドレスが取得できなければ「X-Forwarded-For」を使う。
⑬.「ログイン履歴」
ログイン履歴を「最大10,000件」記錄することができる機能です。
「SiteGuard WP Plugin」のインストール方法
プラグインは、WordPressのダッシュボード画面からインストールすることができます。
①.プラグイン項目から「新規作成」
②.検索窓で「SiteGuard WP Plugin」と入力して「今すぐインストール」
③.インストールが終わったら「有効化」
①.ダッシュボード画面メニューの「プラグイン→新規作成」
②.「SiteGuard WP Plugin」と入力して「今すぐインストール」
【注意】ログインURLが新しくなるので必ず「ブックマーク・URLをメモ」しておく
「SiteGuard WP Plugin」を有効化すると、プラグイン一覧の上あたりに
「ログインページURLが変更されました。
新しいログインページURLをブックマークしてください」
と表示されるので、「新しいログインページURL」を選択します。
すると、新しいログインURLの画面が表示されます。
ログイン画面では何が変わった?
・ログインURLが新しく変更された
・画像認証が追加された
ログインURLが新しくなったので、必ず「ブックマーク・新しいURLをメモ」しておきましょう!
「SiteGuard WP Plugin」の設定方法【さらにセキュリティを強化】
プラグインを有効化するだけでも効果はあるのですが、さらにセキュリティを強化することも出来ます。
「管理ページアクセス制限」がOFFになっているので、ONにして「変更を保存」を選択します。
ONにすると何が変わる?
・管理ページに対する攻撃をブロック
・ログインしたことがないIP端末からのログイン防止
・ログインしたことのあるIP端末でも、24時間以上ログインがない場合、順次削除
ログインURLを忘れてログインできない場合はどうすればいい?【対処方法】
・Webサーバーの挙動を決定する設定ファイルのこと。
・ディレクトリ単位で「ユーザー認証、アクセス制限、リダイレクト設定など」を設定することができる。
.htaccessファイルの確認方法はいくつかありますが、今回はレンタルサーバー側から確認をしてみたいと思います。
レンタルサーバー側で「.htaccessファイル」からログインURLを確認する
- エックスサーバー項目メニューから「.htaccess編集」を選択。
- 「.htaccess編集」タブを選択して、表示された文字中の「login_○○」がログインURL。
①.サーバーパネルへログインして「.htaccess編集」を選択する。
ドメインが複数ある場合、対象ドメイン項目のところにある「選択する」を選ぶ。
②.「.htaccess編集」タブを選択して、表示された文字の中にある「login_~」でログインURLが確認できる
文字コードの中にある「login_」で始まる5ケタの数字がログインURLになっています。
https://「ドメイン名(サイトtopのURL)」/「login_5ケタの数字」
を入力することで、ログイン画面を表示させることができます。
【URLの入力例】
https://yorutolog.com/login_12345
・「login」の次の「_」(アンダーバー)を忘れないで入力する。
【まとめ】「SiteGuard WP Plugin」を導入して自分のサイトを守ろう!
「SiteGuard WP Plugin」は、不正アクセスからブログサイトを守ってくれるセキュリティ系プラグインです。
- 管理ページへのアクセスを制限できる
- ログインURLを変更できる
- 画面認証を導入できる
- ログイン失敗時のエラーメッセージを細工できる
- 失敗をくり返すログイン先を、一定期間ロックできる
- ログイン時に通知をしてくれる
- ログイン情報が正しくても、一度だけ失敗状態にすることができる
- 「ピンバック・XMLRPC」を無効化することができる
- URLに表示されるログインIDを隠すことができる
- WordPress系の更新情報を通知してくれる
- WEBサーバーに「JP-Secure製WAF」を導入していて、正常なアクセスが誤作動してしまうのを防ぐルールを作成できる
- IPアドレスの取得方法を選ぶことができる
- ログイン履歴を「最大10,000件」見ることができる
ブログサイトでお金を稼ぎたいという人は、乗っ取りなどの被害に遭わないように「SiteGuard WP Plugin」入れて、安全にブログ運営をした方が良いと思いました。
