悪意ある第三者からの攻撃や不正ログインの防止に有効な
SiteGuard WP Pluginの導入法、各種設定法について解説しています。
WordPressのセキュリティ対策
WordPressはブルートフォースアタック(総当り攻撃)や
不正なログインを試みる攻撃を受けることがあります。
万一ログインされてしまったら
サイトを改ざんされたり個人情報を不正取得されてしまいます。
悪意ある第三者からの攻撃や不正ログインの防止には
SiteGuard WP Pluginがおすすめです。
SiteGuard WP Pluginとは
SiteGuard WP Pluginは、インストールだけでセキュリティ対策が可能な
無料のプラグインです。
SiteGuard WP Pluginの主な機能
・不正ログインの防止
・管理ページ(/wp-admin/)への不正アクセスの防止
・コメントスパムの防止
SiteGuard WP Pluginは重くないのでWordpressに負担がかかりません。
SiteGuard WP Pluginインストール法
SiteGuard WP Pluginは、プラグインの新規追加からインストールします。
キーワードの欄に「SiteGuard WP Plugin 」と入力し、表示された
「SiteGuard WP Plugin」をインストールしましょう。
ログインURLの変更
SiteGuard WP Pluginを有効化するとログインURLが自動的に変更されます。
新しいログインURLから移動し、URLをブックマークしておきましょう。
なお、新しいログインURLは、WordPress管理者宛にもメールで通知されます。
SiteGuard WP Plugin基本機能
SiteGuard WP Pluginを有効化すると基本機能も自動で有効化されます。
このままの設定でセキュリティ対策上問題ありませんが
自分にあった設定に変更することもできます。
管理ページアクセス制限
管理ページアクセス制限は、デフォルトではOFFとなっています。
ONにするとログインしていないIPアドレスから
「http://ドメイン名/wp-admin」へのアクセスがあると
404エラーページを表示して管理画面へアクセスできないようにします。
ログインページ変更
ログインページ変更は、ブルートフォース攻撃や
不正にログインを試みる攻撃を受けにくくするために
WordPress管理画面のログインURLを変更する機能です。
「https://ドメイン名/wp-login.php」(通常)
↓
「https://ドメイン名/login_<5桁の乱数>.php」(変更後)
※5桁の乱数は文字列に変更可能です。
WordPressの管理画面へのログインは初期設定では
・http://ドメイン名/wp-admin
・http://ドメイン名/wp-login.php
のどちらかになっています。
なので、初期設定のままにしておくとサイトのURLの後ろに
「wp-admin」か「wp-login.php」を入力すれば
誰でも管理画面にはいれてしまいます。
ログインページを変更しておけば、管理者以外の管理画面へのアクセスや
管理画面からのサイバー攻撃を防ぐことができます。
ただ、http://ドメイン名/wp-admin/を指定してアクセスした場合は
変更後のログインページにリダイレクト(移動)してしまうので
「管理者ページからログインページへリダイレクトしない」にチェックを入れ
/wp-admin/からログイン画面へリダイレクトしないようにしておきましょう。
画像認証
画像認証は、管理画面へログインしたり、コメントを投稿したりする際に
画像に文字列を入力するのを必須とする機能です。
画面認証がセキュリティ上有効なのは
WordPress管理画面への攻撃が、自動ブログラムであることが多く
自動ブログラムでは文字列の判別ができないためです。
画像認証の文字はひらがなに設定しておきましょう。
海外では英数字が一般的なので、ひらがなにしておくと海外からの攻撃を
受けづらくなります。
ログイン詳細エラーメッセージの無効化
ログイン詳細エラーメッセージの無効化を設定しておくと
ログインに関するエラーメッセージすべてが同じ内容となり
ユーザー名、パスワード、画像認証のどれを間違えても
同じエラーメッセージを表示します。
WordPressのデフォルトでは、
ログイン時に「ユーザーID」が間違っていたら「ユーザーID」が違う
「パスワード」が間違っていたら「パスワード」が違うと表示してしまうため
これが不正ログインのヒントになってしまいます。
ログイン詳細エラーメッセージを無効化すれば
エラーメッセージからのログイン情報が把握できなくなります。
ログインロック
ログインロックは、ログインに失敗した端末に対して
IPアドレスを元にログインロックする機能です。
時間や回数などが選択できますが、デフォルトでも問題ありません。
ログインアラート
ログインアラートは、不正なログインに気づきやすくするための機能です。
WordPressにログインがあるたびにログインユーザー(管理者)にメールが送信されます。
ログインした心当たりがない場合は、不正なログインを疑ってください。
フェールワンス
フェールワンスは、正しいログイン情報を入力しても
1回はログインを失敗させる機能です。
万一第三者がログインに成功しても一回失敗させることで
第三者はログインに失敗したと思うためセキュリティ対策となります。
XMLRPC防御
XMLRPC防御は、ピンバック機能(リンク元がリンク先に通知する機能)の無効化
または、XMLRPC( xmlrpc.php )を無効化する機能です。
WordPressのXMLRPCとは、プログラムなどでWordPressの外側から
WordPressをコントロールするための機能です。XMLRPC全体を無効化すると
XMLRPCを使用したプラグインやアプリの使用ができなくなります。
私は、ピンバック機能の無効化を選択していますが
支障がある場合は、OFFにしておきましょう。
・更新通知
更新通知では、WordPress本体、プラグイン、テーマの
新しいバージョンが公開されたときに管理者にメール通知してくれます。
WordPressを常に最新の状態に保ち、セキュリティを向上させるに役立つ機能です。
・WAFチューニングサポート
WAFとはSiteGuard WP Plugin専用のファイヤーウォールです。
Webサーバーにファイヤーウォールが導入されていることが前提のサポートです。
私が使用しているサーバーには導入されていないので、OFFを選択しています。
ま と め
・WordPressの悪意ある第三者からの攻撃や不正ログインの防止には
SiteGuard WP Pluginがおすすめです。
・SiteGuard WP Pluginは、インストールするだけで
基本的なセキュリティ設定が可能なので初心者の方には特におすすめします。
・各種設定は、選択可能なので自身にあった設定であなたのサイトを
悪意ある攻撃から守りましょう。
最後まで読んでいただいてありがとうございます。
仕組みを作って自由な暮らしを目指す
オンラインコミュニティ「フリージーライフ」
を開催しています。
「フリージーライフ」では
メルマガで仕組みを作って
自動で稼ぐ方法をお伝えしています。
参加者の方には仕組み作りに生かせる
70本の動画教材をもれなくプレゼント!
あなたもフリージーライフに参加して
自由な暮らしを手に入れましょう!