ブログ運営

「SiteGuard WP Plugin」の設定方法&使い方【WordPressサイトをハッキング・不正アクセスから守るプラグイン】

「SiteGuard WP Plugin」の設定方法&使い方【WordPressサイトをハッキング・不正アクセスから守るプラグイン】

個人でWordPressサイトを運営していると、乗っ取り被害(ハッキング・不正アクセス)にあった時、今までの苦労が水の泡になってしまいます。

このような被害に遭わないためにも、個人で自己防衛をする必要があるわけです。

よると
よると
WordPressにはセキュリティ系のプラグインがいくつかあります。

その中でも「SiteGuard WP Plugin」は、「管理・ログイン」画面からの攻撃を防いでくれるプラグインなので、これを使ってセキュリティ面を強化したいと思います!

「SiteGuard WP Plugin」は何ができる?

「SiteGuard WP Plugin」は、WordPressサイトの安全性を強化することができる、セキュリティ系プラグインです。

このプラグインは、

  • 不正ログインを防止
  • 管理ページ(/wp-admin/)への不正アクセスを防止
  • コメントスパムを防止

など、「管理ページ・ログインページ」への不正な攻撃を防いでくれるので、インストールしておいた方が良いです!

「SiteGuard WP Plugin」の機能13選

「SiteGuard WP Plugin」は、以下13のセキュリティ機能が搭載されているので安心です。

  1. 管理ページアクセス制限
  2. ログインページ変更
  3. 画面認証システム導入
  4. ログイン詳細エラーメッセージ
  5. ログインロック
  6. ログインアラート
  7. フェールワンス
  8. XMLRPC防御
  9. ユーザー名漏えい防御
  10. 更新通知
  11. WAFチューニングサポート
  12. IPアドレス取得方法
  13. ログイン履歴

①.管理ページへのアクセスを制限する

管理ページ(/wp-admin/以降)に対する攻撃を防御する機能です。

  • ログインしたことがないIP端末をログイン出来なくさせる。
  • 24時間以上ログインしていないIP端末は、順次削除される。
よると
よると
ログイン画面のURLが分からないと、ログインすることが出来なくなってしまうので注意して下さい。

②.ログインページ(URL)を変更する

ログインページのURLを自分の好きな文字列に変更することができる機能です。

  • デフォルトでは「login_(5ケタの数字)」となっている。
よると
よると
文字列は「英数字・ハイフン・アンダーバー」が利用できます。

③.画面認証システムを導入する

「ログインページ・コメント投稿」画面に、4ケタの画像認証を追加する機能です。

  • 認証文字は「ひらがな・英数字・無効」の中から選ぶことができる。
よると
よると
この機能で、さらに安全面を強化することができます。

④.ログイン詳細のエラーメッセージを細工する

ユーザー名を調査する攻撃を防ぐための機能です。

  • ログインに関する「エラーメッセージ」が全て同じ内容になる。
よると
よると
「ユーザー名・パスワード・画像認証」のどれを間違えても同じ内容のエラーメッセージが表示されるので、どれが間違っているのか分からなくさせることができます。

⑤.ログイン失敗を繰り返すとロックする

同一の接続元からの機械的なログイン試行を、一定期間ブロックする機能です。

  • ログイン失敗を繰り返すと、「期間・回数・時間」を一定期間ロックする。

【設定項目(ログインロック)】

【期間】

  • 1秒
  • 5秒(デフォルト)
  • 30秒

【回数】

  • 3回(デフォルト)
  • 10回
  • 100回

【時間】

  • 30秒
  • 1分(デフォルト)
  • 5分
よると
よると
この機能は「ブルートフォース(総当り)攻撃」・「アカウントとパスワードが記載されたリストを元に行われる攻撃」など、不正アクセスによる攻撃を対策してくれます。

⑥.ログイン時にアラートをする

ログインすると、メールで通知してくれる機能です。

よると
よると
ログイン時にメールで教えてくれるので、不正ログインがあった時は素早く知ることができます。

⑦.「フェールワンス」で故意にログインを失敗させる

正しいログイン情報を入力しても、1度だけ失敗させる機能です。

  • 「5秒以降・60秒以内」で、再び情報を入力するとログインできる。
よると
よると
この機能は、リスト攻撃(アカウントとパスワードが記載されたリストを元に行われる)を対策してくれます。

⑧.「XMLRPC防御」機能でセキュリティをさらに強化させる

DDoS攻撃や、ブルートフォース(総当り)攻撃を無効化することができる機能です。

  • 「Pingback機能やXMLRPC全体(xmlrpc.php)」を無効化して、悪用を防ぐことができる。
よると
よると
「XMLRPC全体」を無効化してしまうと、XMLRPCを使用したプラグインやアプリが使えなくなってしまうので注意して下さい。

⑨.「ユーザー名漏えい防御」でログインIDが隠せる

ログインをするには「IDとパスワード情報」を必要としますが、対策をしていないとログインIDは誰でも知ることができます。そのログインIDを隠すことができる機能です。

ログインIDを知る方法は、サイトURLの後に「?author=1」を入力します。

【例】 https://(ドメイン名)/?author=1

すると、対策をしていないと「?author=1」の部分がログインIDに変わって見ることができてしまいます。

よると
よると
IDがわかれば後はパスワードを知るだけです。

しかし「パスワードを複雑にする・2段階認証にする」といった対策をすれば、そこまで必須ではないみたいです。

⑩.「更新通知」機能で更新があったら直ぐにわかる

WordPress「プラグイン・テーマ」の更新があったらメールで教えてくれる機能です。

  • WordPressなどのバージョンが古いと、脆弱性を突かれて被害に遭う確率が上がってしまうため、更新は素早くやっておく。
よると
よると
セキュリティは常に最新の状態にしておくと安全です。

⑪.「WAFチューニングサポート」

Webサーバーに「JP-Secure製WAF(SiteGuard Server Edition)」を導入していて、正常なアクセスがWAFによって遮断される場合に、無効化するためのルールを作成する機能です。

WAFとは?

ウェブアプリケーションの脆弱性を悪用する攻撃から、ウェブアプリケーションを保護するためのセキュリティ対策です。

⑫.「IPアドレス取得方法」

IPアドレスの取得方法を設定することができる機能です。

IPアドレス取得方法

リモートアドレス (デフォルト)
X-Forwarded-For レベル:1
X-Forwarded-For レベル:2
X-Forwarded-For レベル:3

・通常は「デフォルトアドレス」を選択する。

・Webサーバーの前段に「プロキシーサーバーやロードバランサー」があり、リモートアドレスでクライアントのIPアドレスが取得できなければ「X-Forwarded-For」を使う。

⑬.「ログイン履歴」

ログイン履歴を「最大10,000件」記錄することができる機能です。

ログイン履歴が確認できる
よると
よると
これを見ることで、不審なログイン履歴がないか確認することができます。

「SiteGuard WP Plugin」のインストール方法

プラグインは、WordPressのダッシュボード画面からインストールすることができます。

①.プラグイン項目から「新規作成」

②.検索窓で「SiteGuard WP Plugin」と入力して「今すぐインストール」

③.インストールが終わったら「有効化」

①.ダッシュボード画面メニューの「プラグイン→新規作成」

ダッシュボードメニューのプラグインから新規作成を選択する

 

②.「SiteGuard WP Plugin」と入力して「今すぐインストール」

検索で「SiteGuard WP Plugin」と入力して「今すぐインストール」を選択する

 

よると
よると
インストールした「SiteGuard WP Plugin」を有効化しておきます。

 

有効化を選択する

【注意】ログインURLが新しくなるので必ず「ブックマーク・URLをメモ」しておく

「SiteGuard WP Plugin」を有効化すると、プラグイン一覧の上あたりに

「ログインページURLが変更されました。

新しいログインページURLをブックマークしてください」

と表示されるので、「新しいログインページURL」を選択します。

「新しいログインページURL」を選択する

すると、新しいログインURLの画面が表示されます。

新しいログインURL画面が表示される

ログイン画面では何が変わった?

・ログインURLが新しく変更された

・画像認証が追加された

ログインURLが新しくなったので、必ず「ブックマーク・新しいURLをメモ」しておきましょう!

よると
よると
これでログインURLが新しくなって画像認証も追加されたので一安心です!

「SiteGuard WP Plugin」の設定方法【さらにセキュリティを強化】

プラグインを有効化するだけでも効果はあるのですが、さらにセキュリティを強化することも出来ます。

よると
よると
WordPressのダッシュボードメニューに「SiteGuard」の項目が追加されているので、そこから「管理ページアクセス制限」を選択します。
「SiteGuard」から「管理ページアクセス制限」を選択する

「管理ページアクセス制限」がOFFになっているので、ONにして「変更を保存」を選択します。

ONを選び「変更を保存」を選択する

ONにすると何が変わる?

・管理ページに対する攻撃をブロック

・ログインしたことがないIP端末からのログイン防止

・ログインしたことのあるIP端末でも、24時間以上ログインがない場合、順次削除

よると
よると
ログインをしたことがあるIP端末でも「24時間ログインしていない状態だと削除されてしまう」ので、新しいURLをブックマークすることは必須です。

ログインURLを忘れてログインできない場合はどうすればいい?【対処方法】

ログインURLを忘れてしまった人
ログインURLを忘れてしまった人
新しいログインURLを忘れてしまった場合はどうすればいいの・・・?
よると
よると
ログインURLを忘れた場合の対処方法は、WordPressをインストールしたディレクトリにある「.htaccessファイル」から確認することができます。
「.htaccessファイル」とは?

・Webサーバーの挙動を決定する設定ファイルのこと。

・ディレクトリ単位で「ユーザー認証、アクセス制限、リダイレクト設定など」を設定することができる。

.htaccessファイルの確認方法はいくつかありますが、今回はレンタルサーバー側から確認をしてみたいと思います。

レンタルサーバー側で「.htaccessファイル」からログインURLを確認する

よると
よると
ここからは私が利用している「エックスサーバー」を例に、手順を紹介していきたいと思います。
その他レンタルサーバー会社を利用している方は、各自公式サイトのページからご確認ください。
  1. エックスサーバー項目メニューから「.htaccess編集」を選択。
  2. 「.htaccess編集」タブを選択して、表示された文字中の「login_○○」がログインURL。

①.サーバーパネルへログインして「.htaccess編集」を選択する。

ホームページ項目にある「.htaccess編集」を選択する

ドメインが複数ある場合、対象ドメイン項目のところにある「選択する」を選ぶ。

②.「.htaccess編集」タブを選択して、表示された文字の中にある「login_~」でログインURLが確認できる

「.htaccess編集」タブを選択すると下に文字コードが表示され確認することができる

文字コードの中にある「login_」で始まる5ケタの数字がログインURLになっています。

よると
よると
URLがわかったら、

https://「ドメイン名(サイトtopのURL)」/「login_5ケタの数字」

を入力することで、ログイン画面を表示させることができます。

【URLの入力例】

https://yorutolog.com/login_12345

・「login」の次の「_」(アンダーバー)を忘れないで入力する。

【まとめ】「SiteGuard WP Plugin」を導入して自分のサイトを守ろう!

「SiteGuard WP Plugin」は、不正アクセスからブログサイトを守ってくれるセキュリティ系プラグインです。

機能まとめ
  • 管理ページへのアクセスを制限できる
  • ログインURLを変更できる
  • 画面認証を導入できる
  • ログイン失敗時のエラーメッセージを細工できる
  • 失敗をくり返すログイン先を、一定期間ロックできる
  • ログイン時に通知をしてくれる
  • ログイン情報が正しくても、一度だけ失敗状態にすることができる
  • 「ピンバック・XMLRPC」を無効化することができる
  • URLに表示されるログインIDを隠すことができる
  • WordPress系の更新情報を通知してくれる
  • WEBサーバーに「JP-Secure製WAF」を導入していて、正常なアクセスが誤作動してしまうのを防ぐルールを作成できる
  • IPアドレスの取得方法を選ぶことができる
  • ログイン履歴を「最大10,000件」見ることができる

ブログサイトでお金を稼ぎたいという人は、乗っ取りなどの被害に遭わないように「SiteGuard WP Plugin」入れて、安全にブログ運営をした方が良いと思いました。

よると
よると
セキュリティ系プラグインで、自分のブログサイトを不正アクセスから守りましょう!

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA