「SiteGuard WP Pluginの設定は本当に必要なの?」
「正直面倒なんだけど…」
こういった声をよく聞きます。
しかし、実際はとても簡単に設定でき、セキュリティも守られる点で利用はおすすめです。
今回は、SiteGuard WP Pluginの設定方法を詳しく紹介していきます。
㈱Woo代表。WordPressを魔改造してSEO戦争する人です。 WordPressプラグイン・テーマ「unify」開発者。 中央大学卒。元WEB系エンジニアでCMSやECサイト開発等をしてました。 2018年10月頃にブログ運営を開始。2020年独立し、2021年法人化。
SiteGuard WP Pluginとは?本当に必要?
- WordPress専用のセキュリティプラグイン
- 管理ページ・ログインページの保護が中心
- 日本語対応でシンプル・簡単に使用可能
具体的な機能としては、URL変更やアクセスブロック等があります。
例えば、以下のようなサイトへの攻撃を未然に防ぐことが可能です。
SiteGuard WP Pluginのセキュリティ保護対象
- 不正ログイン
- 管理ページへの不正アクセス
- スパムコメント
結論:SiteGuard WP PluginはWordPressでのブログ運営に必要!
ブログ運営者のほとんどが使用しているWordPress。
しかし、WordPressには誰でもログインできるため、不正アクセスされる可能性があります。
SiteGuard WP Pluginの設定の流れ
SiteGuard WP Pluginは、WordPressにインストールするだけでセキュリティの向上に繋がります。
有効化だけでもページは保護できますが、設定を変えることで更にセキュリティを強化可能。
管理画面のアクセス制限
管理画面にアクセスできるのは、24時間以内にログインしたIPアドレスのみとする機能です。
それ以外のIPアドレスは、管理画面にアクセスできなくなります。
この機能を有効化すれば、不正ログインの試行が難しくなるでしょう。
ただし、アクセス制限をかけると、自分のサイトでも24時間ごとにログインし直す手間はかかります。
この機能は、インストールしただけの段階ではOFFになっているので、ONに変更しましょう。
ログインURLを変更
WordPressのログインURLを、デフォルトのURLから変更する機能があります。
通常のログインページは、「https://○○.com/wp-login.php」などとなっており、誰でもアクセス可能。
そのため、パスワードの総当たり攻撃が行われやすい状態です。
アクセス回数の制限はありますが、予測しやすいパスワードであれば簡単に突破されてしまいます。
SiteGuard WP Pluginをインストールすると、ログインURLは自動で新しいものに変更されます。
変更されたログインURLは、管理画面やメールで確認可能です。
画像認証機能
コンピューターでは判別が難しい画像に対する回答を求めることで、パスワードを探るプログラムなどからのアクセスを困難にする認証方法
画像認証を行うことにより、本当に人間がアクセスしているのかを判断できます。
画像認証は、以下の4箇所に設定できます。
SiteGuard WP Pluginの画像認証の設定箇所
- ログインページ
- コメントページ
- パスワード確認ページ
- ユーザー登録ページ(※)
※ユーザー登録ページとは、サイト訪問者が誰でもユーザー登録を自分で行えるページです。
不正ログインチェック
不正なログインが行われていないかチェックする機能。
SiteGuardのメニューから「ログインアラート」を開き、ONにすると有効化できます。
ONにすると、ログインが行われるたびに、設定したメールアドレスにログインがあった旨のメールが届きます。
SiteGuard WP Pluginの設定方法【画像付き】
SiteGuard WP Pluginの設定方法を、画像付きで詳しく見ていきましょう。
①インストール
「SiteGuard WP Plugin」のインストールの方法を見ていきましょう。
WordPressのダッシュボードにログインします。
2通りの方法でインストールすることが可能です。
- WordPressのプラグインメニューから「SiteGuard WP Plugin」を検索・インストール
- SiteGuard WP PluginからZIPファイルをダウンロード→アップロードしてインストール
インストールすると、WordPressのダッシュボードに表示されるようになります。
(左から、メニュー/サブメニュー)
このように簡単にインストール可能なため、すぐに使い始めることができます。
②ダッシュボード
ダッシュボードでは、「SiteGuard WP Plugin」の設定状況やログイン履歴を確認可能です。
「SiteGuard WP Plugin」の機能リストごとの設定状況を確認できます。
先頭のチェックマークの色で、機能の有効・無効が分かる仕組みです。
緑のチェックマークが有効、グレーのチェックが無効の状態となります。
③管理ページアクセス制限
先ほどご紹介した、アクセス制限の機能。
ログインしていない接続元がアクセスした際、管理ページ(/wp-admin/以降)に「404 Not Found」というエラー表示を出します。
例えば、自宅でログインして作業していた時のIPアドレスが「10.10.10.10」だった場合。
カフェなどに出かけてネットにつなぐと、「10.10.10.20」のようにIPアドレスが変わります。
その場合ログインしていないIPアドレスとなり、管理ページ(/wp-admin/以降)にアクセスできません。
また、ログインしているIPアドレスは、24時間経過すると無効化されます。
管理ページアクセス制限の切替と、除外パスの設定方法は以下の通りです。
ログインしていないIPアドレスからでも管理ページのURLを使用する必要がある場合には、除外パスを追加しましょう。
デフォルトで、以下の除外パスが登録済みです。
- css
- images
- admin-ajax.php
- load-styles.php
- site-health.php
④ログインページ変更
ログインユーザー名とパスワードの組み合わせを探る攻撃の機会を減らせます。
「ログインページ変更」機能の切替と、変更後のログインページ名の設定は以下の通りです。
設定する際には、推測されにくい名前にすることが必要です。
英数字・ハイフン・アンダーバーが使用可能です。(デフォルトでは「login_<5桁の乱数>」)
「管理者ページからログインページへリダイレクトしない」はチェックしておくことをおすすめします。
ログイン不可のアクセスに対して、変更後のログインページには行かせず、トップページにリダイレクトされる仕組みです。
※バージョン1.6.0以前では、「404 Not Found」というエラーコードが出ます。
⑤画像認証
誰もがアクセスできるページは、セキュリティを強化する必要があります。
「ひらがな」または「英数字」4桁による画像認証を追加しましょう。
ユーザー名やパスワードを探るような攻撃を受けないようにする対策です。
「画像認証」機能の切替と、画像認証の種類の設定方法は以下の通りです。
画像認証の種類は以下の3つ。
- ひらがな(デフォルト)
- 英数字
- 無効
文字数は4文字と固定されています。
ひらがなでは、濁音・半濁音・小文字(ぁ・っ・ゅ等)は表示されません。
⑥ログイン詳細エラーメッセージの無効化
デフォルトではログインに失敗するとエラーメッセージが出ます。
「ユーザー名」「パスワード」「画像認証」のうち、どれが間違いか分かる表示です。
以下の機能を「ON」にすることで、ログイン失敗の原因が分からないようメッセージを統一できます。
⑦ログインロック
同じ接続元が連続してログインに失敗した場合、以降のログインをロックする機能です。
ただし、以下の攻撃には効果がない可能性もあります。
- 多くの接続元を使用している攻撃
- ゆっくりめの攻撃
「ログインロック」機能の切替と、詳細設定は以下の通りです。
デフォルトはONのため、ONとOFFを切り替えましょう。
- 期間…1秒・5秒・30秒から選択(デフォルトは5秒)
- 回数…3回・10回・100回から選択(デフォルトは3回)
- ロック時間…30秒・1分・5分から選択(デフォルトは1分)
⑧ログインアラート
ログインすると、ユーザーに通知メールが来ます。
メールを受信した際にログインの心当たりがない場合、不正ログインを疑いましょう。
「ログインアラート」機能の切替と、詳細の設定は以下の通りです。
「サブジェクト」「メール本文」は、必要であれば編集します。
以下の変数を使って編集可能です。
| 変数名 | 置換の内容 |
|---|---|
| %SITENAME% | サイト名 |
| %USERNAME% | ログインユーザー名 |
| %DATE% | ログイン日付 |
| %TIME% | ログイン時刻 |
「受信者」を「管理者のみ」にすると、管理者の権限を持つユーザーだけにアラート通知が来ます。
⑨フェールワンス
フェールワンスは、ログインが成功する場合でも一度失敗させ、次の試行に進ませる仕組み。
リスト攻撃をかわすことが目的です。
情報漏洩されているユーザー名・パスワードの組み合わせ(リスト)を使い、不正にログインしようとする攻撃
この機能は、ランダムに試行される総当たり攻撃にも効果があります。
また、中には、ユーザー名とパスワードの同じ組み合わせを2回ずつ試行する機械的な攻撃も。
このような攻撃に対しては、インターバルを設けて時間的コストを追わせることが可能です。
「フェールワンス」機能の切替と、詳細設定は以下の通り。
この機能を使うと、自身のサイトであっても一度ログインに失敗します。
5秒~60秒以内に、もう一度ログインしましょう。
⑩XMLRPC防御
XML-RPC(通信の決まり)を悪用したDDoS攻撃・ブルートフォース攻撃から防御する機能。
複数の機器を利用してサイトに膨大な負荷をかける攻撃
パスワード等のパターンを総当たりで入力し、不正アクセスを試みる攻撃
通信妨害や不正アクセスに対し、セキュリティをさらに強化できます。
「XMLRPC防御」機能の切替と詳細設定は以下の通り。
- ピンバック無効化(デフォルト)…被リンク・発リンクの通知を無効化
- XMLRPC防御…XMLRPC全体を無効化
XMLRPC防御で全体を無効化すると、XMLRPCを使用しているプラグイン・アプリは使用できません。
インストール済みのプラグイン・アプリの確認を行ってから設定しましょう。
⑪ユーザー名漏えい防御
「“?author=数字”」のアクセスによるユーザー名の漏えいを防止する機能です。
WordPressへの不正ログインは、ユーザー名が分かれば、あとはパスワードを推測するだけ。
ユーザー名は伏せておくのが安全です。
「ユーザー名漏えい防御」では以下の機能の利用が可能。
- REST APIを使用してユーザー名を取得
- REST APIを無効化して漏洩防止
REST APIの無効化後に動作しないプラグインがあれば、除外プラグインのリストに追加します。
また、有効になっているプラグインのリストから追加することも可能です。
情報源となるサービスとのプログラミングによる対話を可能にするための伝達機能
⑫更新通知
WordPressやプラグイン、テーマについて、更新情報がある場合メールで更新通知が届きます。
管理者になっているユーザー宛に送信される仕組みです。
宛先は、各ユーザーの「メール」を変更する必要があります。
「更新通知」機能の切替と、詳細設定は以下の通りです。
デフォルトはONのため、ONとOFFを切り替えます。
WordPressの更新の設定は、「無効」「有効(デフォルト)」の2通りです。
プラグインの更新の設定は、以下の3通り。
- 無効
- すべてのプラグイン
- アクティブなプラグインのみ(デフォルト)
テーマの更新の設定も、同じように以下の3種類です。
- 無効
- すべてのテーマ
- アクティブなテーマのみ(デフォルト)
設定内容を保存するには、「変更を保存」ボタンをクリックします。
⑬WAFチューニングサポート
正常なアクセスがWAFによって遮断されてしまう際に、それを回避するルールを作成できます。
(WebサーバーにJP-Secure製WAF SiteGuard Server Editionが導入されている場合)
「WAFチューニングサポート」の切替と除外ルールの登録、編集や削除を設定。
設定内容を適用する(実際に機能させる)には、「ルールの適用」ボタンをクリックします。
ルールの追加
「新しいルールを追加」ボタンをクリックすることで、追加画面が開きます。
(以下、「ルールの変更」画面と同様)
ルールの変更
一覧のシグネチャの下の「編集」リンクをクリックすると、編集画面が開きます。
「シグネチャ」には、誤検知が出たシグネチャ名か、シグネチャIDを指定します。
複数指定する場合は、改行で区切ります。
「ファイル名」には、誤検知が出たファイル名を指定しましょう。
パスは指定することはできません。
URL(’?’より前の部分)をペーストすることは可能です。
URLをペーストすると、ファイル名だけを抜き出して設定されます。
ルールの削除
一覧のシグネチャの下の「削除」リンクをクリック。
削除確認画面が開かれるので、実行しましょう。
(以下、「ルールの一括削除」画面と同様)
ルールの一括削除
ルール一覧から、削除したいルールにチェックを入れます。
一括操作から「削除」→「適用」ボタンをクリック。
削除確認画面が開いたら、表示内容を確認します。
削除するファイル名が間違いなければ、ボタンをクリック。
ルールの削除が行われます。
⑭詳細設定
クライアントのIPアドレス取得方法を変更する設定です。
通常の場合はリモートアドレスを選択。
Webサーバーの前段にプロキシーサーバーやロードバランサーが存在すると、リモートアドレスでクライアントのIPアドレスが取得できない場合もあります。
その場合には、X-Forwarded-ForからIPアドレスを取得可能です。
レベルは、「X-Forwarded-Forの値で(右から)数えて何番目か」を示します。
X-Forwarded-For レベル:nを選択。
以下の2つが存在しない場合には、リモートアドレスから取得しましょう。
- X-Forwarded-Forヘッダー
- 指定したレベルの値
⑮ログイン履歴
ログインの状況を、5つの項目で表示し、確認できます。
結果
「成功」「失敗」「ロック」「フェールワンス」の4通りです。
※「ロック」「フェールワンス」は、それぞれ上記「⑦ログインロック」「⑨フェールワンス」を参照。
タイプ
「ログインページ」「XMLRPC」の2種類があります。
「通常のログインページからのログイン」あるいは「xmlrpc.php経由のログイン」であるのかを判別できます。
ページ上部にて、「結果」「タイプ」「ログイン名」「IPアドレス」の値で絞込検索が可能。
絞り込み検索を行いたい項目で選択と入力を行い、「絞り込み検索」ボタンをクリックします。
逆に解除するには、「すべて」ボタンをクリックしましょう。
履歴は最大10,000件まで確認可能。
10,000件を超えた場合には、もっとも古い履歴から削除されます。
SiteGuard WP Pluginの注意事項
最も注意すべき点は、URL変更後。
自分自身がログインできなくなるということが考えられます。
ブックマークなどで記憶して必ず覚えておきましょう!
ログインURLを忘れてしまった
WordPressがインストールされたディレクトリにアクセスしましょう。
階層構造を持つ、フォルダの保管場所
「.htaccess」を開くとログインURLを確認可能です。
「.htaccess」には、SiteGuard WP PluginでログインURLを変更した場合に変更後のURLが書き込まれます。
メモ帳などのテキストエディタで「.htaccess」を開くと、下記のような文字列があるので確認しましょう。
RewriteRule ^login_123123(.*)$ wp-login.php$1 [L]
この場合は、wp-login.phpの左にある「login_123123」が、変更されたログインURLとなっています。
※数字部分が指定URLです。
まとめ
この記事のまとめ
- SiteGuard WP Pluginは、不正ログインからセキュリティを保護するWordPress専用プラグイン。
- SiteGuard WP Pluginは、WordPressに誰でもログインできる状況から自身のサイトを守るために必要。
- SiteGuard WP Pluginの設定は基本ON・OFFの切り替えのみでも使えるため、とても簡単。
- SiteGuard WP Pluginに自身がログインできない事態を防ぐため、変更後のURLはブックマークしておく。
SiteGuard WP PluginはWordPressサイト管理のセキュリティを高めることができる便利なプラグインです。
サイト内の情報は重要な資産のため、セキュリティ意識を持って運用するのは重要なこと。
脆弱なシステムを放置しておけば顧客情報の流出や攻撃者の踏み台になる、という最悪な事態も想定できます。
無料で利用でき、設定も難しくありません。