WordPressは世界的に使われているCMSのため、セキュリティホールが見つかることが度々あります。
安心してサイトを運営するために、セキュリティプラグイン「SiteGuard WP Plugin」を使うのがおすすめです。
WordPressのプラグイン「SiteGuard WP Plugin」の設定方法と使い方を解説します。
SiteGurad WP Pluginを使えば以下の効果が期待できます。
- WordPressログインページの保護
- スパム防止
- 不正アクセスの防止
開発元はJP-Secureという日本のセキュリティソフトウェア会社になります。
WordPressはセキュリティホール(ソフトウェアの脆弱性)が見つかることも多いです。
実際にWordPressにインストールしてから設定までは以下の流れになります。
SiteGuard WP Plugin のインストール
WordPressの「プラグイン」⇒「新規追加」から、「SiteGuard WP Plugin」を検索してインストールして有効化してください。
レンタルサーバーのロリポップでは「 SiteGuard WP Plugin 」のインストールを推奨しています。
インストールが完了したら、「SiteGuard」⇒「ダッシュボード」にいき設定を行います。
赤枠の管理画面ログインURLを忘れないようにしましょう。
「設定」⇒「一般」に登録している管理者メールアドレスにも新しいログインURLが届きます。
SiteGuard WP Pluginの設定
SiteGuard WP Pluginはインストールした時点で、いくつかの機能がオンになりセキュリティが強化されます。
設定は手動で変更できます。どんな設定があるのか説明します。
管理ページアクセス制限
WordPressの管理ページ(wp-adminフォルダ)のセキュリティ強化ができます。
ログインページ変更
ログインページのURLを変更できます。
画像認証
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに、「ひらがな」または「英数字」4桁による画像認証を追加します(各ページごとに設定可)。
ブ ブルートフォースなどの総当たり攻撃に有効です。
ログイン詳細エラーメッセージの無効化
ログインに失敗した時のエラーメッセージが全て同じになります。
ユーザー名が間違っているのか、パスワードが間違っているのかわからなくなります。
ログインロック
ログインの失敗回数と試行時間の設定になります。
ブルートフォースなどの総当たり攻撃に有効です。
ログインアラート
ログインすると管理者へメールが通知されます。
フェールワンス
初回のログインを失敗させる機能です。
1度必ず失敗するので、正しい組み合わせ(ユーザIDとパスワード)が間違っていると思わせることができます。
XMLRPC防御
ピンバックによる攻撃を防ぐことができます。
ユーザー名漏えい防御
“?author=数字”のアクセスによるユーザー名の漏えいを防止します。
WordPressはユーザー名とパスワードの組み合わせでログインできるので、ユーザー名がわかるとパスワードの総当たり攻撃で突破させてしまいます。そのリスクを防ぐ機能になります。
更新通知
WordPress、プラグイン、テーマについて、更新情報がある場合に、メールで知らせてくれる機能です。
WAFチューニングサポート
JP-Secure製WAF SiteGuard Server Editionがインストールされていて、アクセスがWAFによって遮断されるルールを防ぐことができます。
WAFの設定は知識がないとトラブルになるので注意してください。
詳細設定
クライアントのIPアドレス取得方法を設定します。リモートアドレスのままでOKです。
ログイン履歴
ログインしたユーザー情報を確認することができます。
「SiteGuard WP Plugin」について説明しました。
WordPressは世界的に使われているCMSで、脆弱性をついた攻撃の対象になりやすいです。
その他にもおすすめのWordPressプラグインがあるので、こちらの「WordPressのプラグインおすすめ」も参考にしてください。