WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の設定方法

WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の設定方法

SiteGuard WP Plugin

WordPress(ワードプレス)のセキュリティプラグインとして人気の「SiteGuard WP Plugin」。

SiteGuard WP Pluginはワードプレスの管理画面に対するセキュリティ向上のプラグインです。

日本国内のウェブサイトセキュリティの専門企業として知られる、『JP-Secure』社が開発しているワードプレス用の無料プラグインです。

ワードプレス管理ページのアクセス制限やログインページの変更(ログインURLの変更)、画像認証やログインロックなど、webサイトのセキュリティ対策に役立つ複数の機能が用意されています。

今回はSiteGuard WP Pluginの主な設定方法を紹介します。

SiteGuard WP Pluginのインストール

それではSiteGuard WP Pluginのインストールから紹介していきます。

まずはワードプレスの管理画面にログインしてプラグインの項目から「新規追加」をクリック。

プラグインの新規追加画面が表示されたら右上のキーワード欄に「SiteGuard WP Plugin」を入力するとSiteGuard WP Pluginが表示されます。

WordPressプラグインSiteGuard WP Plugin

「今すぐインストール」をクリックするとインストールが完了します(上の画像はインストールが完了した後の画像です)。

インストールが完了したら早速プラグインを有効化したいとこですが、プラグインを有効化する前に一つ注意が必要です。

SiteGuard WP Pluginを有効化すると、自動的に管理画面のログインURL(ドメイン名以降)が5桁の乱数に変更されます。

ここで変更されたURLを忘れるとログインできなくなってしまうので、表示されたメッセージに従って「新しいログインページURL」をクリックして管理画面のログイン画面を表示させます。

WordPressプラグインSiteGuard WP Plugin

管理画面のURLがランダムな数字に変わっていると思いますので、新しいURLの管理画面を確認してブックマークに登録するようにしておきましょう。

ここで自動的に変更されたログインページのURLは、SiteGuard WP Pluginの設定で任意の文字列に変更できます。ログインページのURLの変更は後程紹介します。

さてそれではSiteGuard WP Pluginの設定を順番に解説していきます。

WordPressプラグインSiteGuard WP Plugin

管理画面のアクセス制限

管理画面のアクセス制限では、ログインしていない接続元から管理画面にアクセスできないようにします。

「管理画面のアクセス制限」をONにすることで、新しくなったログインURLでログインしたことのない接続元のIPアドレスから管理画面へアクセスがあっても、「404エラー」を返して管理画面へのアクセスができません。

管理画面のアクセス制限の設定方法は、WordPressの管理画面(ダッシュボード)でSiteGuard WP Pluginの「管理画面のアクセス制限」をクリックすると以下の画面が表示されるので、ONにすると有効になります。

WordPressプラグインSiteGuard WP Plugin

ログインページ変更

SiteGuard WP Pluginを有効化して自動的に変更されたログインページのURLはここで任意の文字列に変更できます。

ログインページの変更方法はSiteGuard WP Pluginの「ログインページ変更」をクリックすると以下の画面が表示されます。

変更後のログインページ名の欄に任意の文字列を入力して「変更を保存」をクリックすると、新たなログインページのURLに変更されます。

WordPressプラグインSiteGuard WP Plugin

画像認証

SiteGuard WP Pluginの「画像認証」では、ログインページなどに画像認証を設置できます。

例えばログインページの項目でひらがなを選択すると、ログインページの画面ではユーザー名とパスワードの他に、画像に表示されるひらがなを入力しなければログインできなくなります。

siteguard画像認証

WordPressの管理画面は、ボットによる自動ブログラムによって攻撃されることが多いですが、ボットは画像の文字列を識別できないので不正アクセス防止に効果的です。

SiteGuard WP Pluginの「画像認証」では、ログインページコメントページパスワード確認ページユーザー登録ページに画像認証を設置できます。

各項目でひらがなや英数字などを選択して「変更を保存」をクリックします。

WordPressプラグインSiteGuard WP Plugin

ログイン詳細エラーメッセージの無効化

WordPressプラグインSiteGuard WP Plugin

この設定を有効(ON)にすると、ログイン時のエラーメッセージが全て同じ内容になります。

例えばログイン項目が「ユーザー名」・「パスワード」・「画像認証」の場合、この設定を有効にしていない状態でいずれかの項目を間違えると以下のようなエラーメッセージが表示されます。

  • ユーザー名無効なユーザー名です
  • パスワードユーザー名○○のパスワードが間違っています
  • 画像認証画像認証が間違っています

どの項目が間違っているか教えてくれるので一見とても親切のようですが、不正アクセスを試し見る者にとっても、どの項目が間違っているかを知らせることになってしまいます。

この設定を有効(ON)にすると、どの項目を間違っても「入力内容を確認の上、もう一度送信してください」という全て同じエラーメッセージが表示されます。

そのためどの認証が間違ったのかは不正アクセスを試し見た者には分からなくなります。

ログインロック

WordPressプラグインSiteGuard WP Plugin

ログインロックは機械的に繰り返されるブルートフォースアタック(総当たり攻撃)やリスト攻撃などに有効です。

設定できる項目は「期間」・「回数」・「ロック時間」の3種類。それぞれ更に細かい設定が可能です。

基本的にはデフォルト設定(上記画像)のままで問題ないと思うので、ONに設定しておきたい機能です。

ログインアラート

WordPressプラグインSiteGuard WP Plugin

ログインアラート設定をONにすると、ログインした際にメールで通知が届きます。不正ログイン対策の補助機能のようですが、自分がログインした際にもメールが届くようになります。

心当たりがない不正なログインをメールで通知してくれるのは良いとして、自分がログインするたびにいちいちメールが届くのはちょっと煩わしい感じがします。

これはお好みで設定するといいと思います。

フェールワンス

WordPressプラグインSiteGuard WP Plugin

フェールワンス機能をONにすると、正しいログイン情報を入力しても必ず1回目はログインが失敗します。その後、5秒以降、60以内に再度ログイン情報を入力するとログインできるようになります。

なんでそんな面倒くさいことするのかというと、どこかで不正に入手されたログイン情報を使用されたとしても、必ず1回目のログインは失敗するので不正入手されたログイン情報が間違っていると思わせることが出来ます。

「パスワードリスト攻撃」や「ブルートフォース攻撃」に有効でセキュリティ効果も高いと言えますが、必ずログイン情報を2回入力するのはちょっと面倒なのがデメリットです。

XMLRPC防御

WordPressプラグインSiteGuard WP Plugin

XMLRPCとは、「eXtensible Markup Language Remote Procedure Call(エクステンシブル・マークアップ・ランゲージ・リモート・プロシージャ・コール)」の略です。

特に覚える必要はないですが、ざっくり言うとXML形式のデータをHTTPでやり取りするための決まり事の一つです。

XMLRPCを利用すると、ログインしなくても投稿を編集したり、メールから記事投稿することが出来るようになります。

XMLRPCは外部からワードプレスをコントロールするための様々な機能が提供されているので便利な反面、悪用されるリスクがあります。

セキュリティ的な観点からするとXMLRPCを悪用できなくするのが良いと言えますが、XMLRPCを無効にすると、XMLRPC機能を利用しているプラグインやアプリ、ピンバックも利用できなくなってしまうので注意が必要です。

デフォルト設定では「ピンバック無効化」にチェックが入っていて、ピンバック機能のみを無効化するようになっています。

更新通知

WordPressプラグインSiteGuard WP Plugin

更新通知をONにすると「WordPress」・「プラグイン」・「テーマ」の更新があった時に管理者アカウントのメール宛に通知してくれる機能です。

これらは常に最新版にアップデートして使用するのがセキュリティ的にも推奨されます。アクティブなプラグインやテーマだけでも通知してくれると便利です。

WAFチューニングサポート

WordPressプラグインSiteGuard WP Plugin

WAFチューニングサポートは、WebサーバにWAF(SiteGuard Lite)が導入されている場合に、WordPress内での誤検知を回避するためのルールを設定する機能です。

Webサーバ側の設定で、WordPress内での正常な操作が不正と見なされて設定が出来ないような際には有効な設定です。

WAFチューニングサポートをONにして除外ルールを作成することで、特定の機能の誤検知を防ぎつつ、Webサーバーに対する外部の攻撃を防ぐことにも有効です。

詳細設定

WordPressプラグインSiteGuard WP Plugin

Webサーバーの前段にプロキシーサーバーやロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合の設定です。

ここは基本的にリモートアドレスのままでOKです。

ログイン履歴

WordPressプラグインSiteGuard WP Plugin

ここではログイン履歴を確認することができます。

ログインページの変更をしないでそのままワードプレスを使用していた場合など、不正なログイン履歴が無数にあることに気付くと思います。

最大1万件の履歴が保存されますが、1万件を超えると古い履歴から削除されていきます。

WordPressのセキュリティープラグイン「SiteGuard WP Plugin」

今回はWordPressのセキュリティプラグインとして人気の「SiteGuard WP Plugin」の機能や設定方法を紹介しました。

見ていただいた通り特に難しいことは無く、SiteGuard WP Pluginだけでもこれだけの機能を簡単に設定することが出来ます。

お使いの環境によっては相性が悪いこともあると思いますが、WordPressのセキュリティ対策にはとても便利なおすすめプラグインです。

プラグインカテゴリの最新記事