SiteGuard WP Pluginは、WordPressのセキュリティを向上させるプラグイン。
EG Secure Solutionsという、日本のセキュリティソフトウェア会社が開発しています。
日本語対応で、不正ログインやコメントスパムなどの対策をプラグインひとつで簡単に設定できます。
複数のレンタルサーバー会社でもこのプラグインを推奨。
当サイトで使用している、WordPressテーマ「ACTION(AFFINGER6)」でも、おすすめのプラグインとして紹介されています。
今回はSiteGuard WP Pluginのインストールから設定までを写真付きで解説していきます。
作り立てのサイトでも初期の段階でプラグインを導入しておきましょう。
「SiteGuard WP Plugin」のできること
「SiteGuard WP Plugin」を導入することの効果については主に
- 管理ページ・ログインページの保護
- 不正ログイン
- 管理ページへの不正アクセス
- スパムコメント対策
サイトへの攻撃に対する防御の効果があります。
スパムや不正アクセスなどは海外のイメージも強いかと思いますが、たとえ日本向けのブログやサイトであっても、海外からの観覧は思ってるよりもあります。
(Webページのアクセス解析サービスGoogle Analyticsを導入していると、国別アクセスも確認できます)
例えサイト開設したてであっても、全く危険がないわけではありません。
「SiteGuard WP Plugin」は導入して有効化するだけでも効果があると言われていますし、
設定自体はとても簡単ですので、サイトを作る初期段階で導入すれば、以後、特に設定を変更することもありません。
「SiteGuard WP Plugin」のインストール
WordPressの画面左にあるメニューから[プラグイン]→[新規追加]をクリックします。
プラグインの追加のページが開くと、画面右に検索窓があるので、
「SiteGuard WP Plugin」と入力してEnterキーを押します。
SiteGuard WP Pluginが表示されたら「今すぐインストール」のボタンをクリックします。
インストール後、ボタンが「有効化」と表示されるので、クリックして有効にします。
有効化にすると画面が変わり以下のようなメッセージが表示されます。
設定変更は「こちら」をクリックして、設定を行います。
「SiteGuard WP Plugin」の設定
「SiteGuard WP Plugin」のメニューは、インストール有効後WordPress画面左のメニューにも、「SiteGuard 」という名前で表示されます。
「SiteGuard WP Plugin」の設定状況は「ダッシュボード」で確認できます。
各設定項目はこのダッシュボードを開かなくても、WordPress画面左のメニューにある「SiteGuard」からも個別に各項目の設定画面を開くことができます。
SiteGuard WP Pluginはインストール・有効化するだけでセキュリティが強化されますが、
中には不要なもの、設定が必要なものもあるので、各項目の設定について説明します。
管理ページアクセス制限
「管理ページアクセス制限」は、管理ページに対する攻撃をブロックします。
4時間以内にログインしていないIPのアクセスを遮断する機能で、きちんとログインしていないIPを弾くだけでも一定の効果があります。
デフォルトではOFFですが、ONに切り替えることで制限をかけることができます。
変更したら必ず「変更を保存」をクリックします。
この設定はOFFのままにしてあります
ログインページ変更
WordPressのログインURLは https://○○○.com/wp-login.php
となっており、この仕組みを知っている人ならば、誰でもログインページにアクセスできてしまいます。
「SiteGuard WP Plugin」を使えば、このログインページをデフォルトのURLから変更することができます。
機能を[ON]にし、「変更後のログインページ名」を変更、オプションにチェックを入れて「変更を保存」をチェックします。
新しく設定した[https://サイトURL/login_xxxxx.php]のログインページは
メモやブックマークしておきましょう(忘れるとログインできなくなります)
ONにして「管理者ページからログインページへリダイレクトしない」にチェックを入れる
画像認証
ログインページ、コメント投稿に画像認証を追加します。
セキュリティをもう一段階UPさせる効果です。
以下の3つのパターンを設定できます。
- ひらがな(デフォルト)
- 英数字
- 無効
ログインページに設定すると、自分でも認証が必要になるので、ひと手間増えます。
この設定はONのままにしてあります
ログイン詳細エラーメッセージの無効化
通常のログイン失敗によるエラーメッセージは、「ユーザー名」「パスワード」「画像認証」のうち、どれが間違いか分かるメッセージになっています。
不正アクセスを試みる人にとってはヒントとなってしまうので、このメッセージを
単一のメッセージにして返す機能です。
この設定はONのままにしてあります
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
ONにして、30秒/3回/5分 の設定にしてあります。
ログインアラート
ログインがあったことを、メールで通知します。
第三者が不正ログインした時にもすぐに通知されるようになっています。
ログインするたびにメール通知が来てしまうので、避けたい場合はOFFにしても構いません。
念のためONにしてあります。
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
初期状態のままOFF
XMLRPC防御
XMLRPC防御とは
- ピンバック機能(リンク元がリンク先に通知する機能)の無効化
- XMLRPC( xmlrpc.php )を無効化
するための機能です。
注意点として、XMLRPCを使用したWordPressプラグインを使用している場合、「XMLRPC無効化」に設定をすると使用できなくなったり、エラーが出る可能性があります。不具合が出たときはOFFにしましょう。
ONにして「XMLRPC無効化」
ユーザー名漏洩防止
WordPressのユーザー名を防止する機能。
「"/?author=数字" 」のアクセスによるユーザー名の漏えいを防止。
また、REST API によるユーザー名の漏えいを防止するため、REST API を無効化することができます。
ONにしてオプションのREST APIを無効化はOFFにしました。
更新通知
更新通知は、WordPress本体やプラグイン・テーマに更新があった時に通知してくれる機能
メールで通知してくるので必要なければOFFにしておきましょう。
OFFにしました
WAFチューニングサポート機能の特徴
WAFとはWeb Application FireWallの略で、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつ。
必要がなければOFFのままでOKです。
OFFにしました
ログイン履歴
ログイン履歴では、ログインした履歴を見れるようになっています。もし不正ログインが怪しければ、この履歴をチェックしましょう。
特に設定はありません。
まとめ
設定項目が多いので、初心者にとってはややこしく感じてしまうかもしれませんが、
このプラグインは、ログインぺージの変更設定も考えると、サイトを立ち上げた初期段階での導入をおすすめします。
まだ始めたばかりのサイトで誰も見ていないと思っても、自分が思っているより海外からのアクセスも多いのです。
セキュリティ対策は危険への防御でもあるわけですが、何かあった時の対応も大変です。
大きな変更がなければ、最初に設定しておくだけで、頻繁にさわるプラグインではないので、
是非この記事の手順を参考にセキュリティ対策をおこなってください。
