WordPressのセキュリティは弱いって聞いたけどだいじょうぶかな?
超初心者でも簡単にできるセキュリティ対策が知りたいな
不正アクセス防止、ログイン画面の強化には「SiteGuard WP Plugin」がオススメです。「SiteGuard WP Plugin」はWordpressのセキュリティ強化をし不正ログインを防ぎます。
設定や使い方はとても簡単ですが、ログイントラブルもあわせて詳しく解説していきます。
SiteGuard WP Pluginの主な機能
株式会社ジェイピー・セキュアが提供する無料のWordpressのセキュリティ系プラグインです。
WordPressの世界の大半が利用するオープンソースのCMSのため危険に悪意のある攻撃者に狙われやすい状況にあります。その中で「SiteGuard WP Plugin」は以下のことを守ってくれます。
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
私が特にいいなと思う点は日本語の画像認証があるので、海外からの不正ログインを防ぐ手段になっていると思っています。設定項目は10個あり、どれもシンプルで初心者にも使いやすいデザインになっています。
SiteGuard WP Pluginの設定
ここからは「SiteGuard WP Plugin」の使い方を説明します。
「SiteGuard WP Plugin」のインストールはダッシュボードのプラグインメニューから行なってくださいね。
設定項目は10個あります。全て設定する必要はなく、あなたにとって必要なところだけ設定すればOKです。
注意:有効化と同時にログインURLが変更される
インストールして有効化すると自動的にログインページが変更されます。
WordPressをインストールした初期の管理画面URLは「https://ホスト名/wp-admin」です。プラグインをインストールし有効化すると「https://ホスト名/login_*****」に自動で変更されます。
それと同時にWordpressに登録したメールアドレスにログインページURLの変更を知らせるメールが届きます。(URLが今と違っていますが、気にしないでください)
ログインページをブックマークしている方は変更後のURLをブックマークを忘れないようにしてくださいね。
設定方法
それでは各種設定していきましょう。
画像は現在の私のSiteGuradのダッシュボードです。緑色のチェックマークが設定「ON」になっている状態です。もっと沢山設定した方がいいのでしょうが、ワケあってこうなっています。
一時期サイトヘルスで「サイトでループバックリクエストが完了できませんでした」と表示されて、その原因がどうもSiteGuradのようだからです。詳しくは、「「サイトでループバックリクエストが完了できませんでした」時の対処法」で説明しています。
あとは面倒くさいからです(^^ゞ
管理ページアクセス制限
web-adminホルダは管理画面に関わるファイルが入っています。ここにアクセス制限をかけます。
WebサーバのソフトウェアがApacheでない、または、mod_rewriteがインストールされていない場合は、この機能は動作しません。
エックスサーバー、さくらインターネット、コアサーバー、ロリポップ!、ColofulBox、カゴヤ・ジャパンは使えます。ほぼどこのレンタルサーバーでこの機能を使うことができます。
デフォルトで5つのファイルはログインをしていないIPアドレスでも接続が可能です。デフォルトのままで大丈夫です。
- images
- css
- admin-ajax.php
- load-styles.php
- site-health.php
admin-ajax.php
Ajaxは通信方法の一つで、WordpressdでのAjax通信をサポートするファイルになります。
load-styles.php
これはログインページの見た目に関わるスタイルシートに関わるファイルです。
site-health.php
サイトヘルスはWordpressの状態をチェックする機能の一種です。
ログインページ変更
通常ログインページは、「https://ホスト名//wp-login.php(またはwp-admin)」になっています。
ログインページはSiteGuardを有効化すると自動で「login_*****」に変更されますが、自分で好みのURLにすることが可能です。
オプションのチェックは入れておいたほうがいいです。チェックを入れたほうがログインページに戻らないので、ログインURLがバレません。
画像認証
画像認証は表示された文字を入力することによって認証する方法です。
画像認証はデフォルトではONになっております。また、ログイン、コメント、パスワード確認ページ、ユーザー登録ページに設置されます。ひらがな、英数字と選べます、清音のあいうえおだけです。
設定するとすぐに認証画像が設置されます。ときどき見間違える時があるくらいの難易度です。
残念ながら、お問い合わせフォームにはつきません・・・。お問い合わせフォームを強化したい場合はreCAPTCHAを導入しましょう。
ログイン詳細エラーメッセージの無効化
ログインを失敗しすると掲示されるエラーメッセージを統一します。
ユーザー名の入力ミスかパスワードの入力ミスのどちらかを間違えたとき、どちらが間違っていてどちらが正しい方が分からないようにします。
そのため、エラーメッセージを統一します。
ログインロック
設定をするログインの失敗が指定期間中に何度も間違えるとロックします。ログインロックすることによって、総当たり攻撃や辞書攻撃を減らします。
ログインロックは接続元IPアドレスをもとにロックを行っています。そのため企業や学校などプロキシサーバーを使うところは、同じ接続元IPアドレスになるので失敗すると、全員ロックされることになりますので注意が必要です(これについてはFAQをみてください)
パスワードの使用する文字数と解読時間の関係は4桁の英字26文字の場合、解読される時間は約3秒です。
ログインロックを設定すれば解読時間を長くすることができます。3回間違えたら1分ロックするとせっていすると、3秒だったのが105日かかりるようになります。
ログインロックも重要な設定ですが、そもそものパスワードが解読されやすければ元も子もないので、パスワードの強化を心がけてくださいね!パスワードの強化については下の記事を読んでみてくださいね。
ログインアラート
自分が管理するホームページの管理画面にログインがあった場合、登録しているメールアドレスにログインを知らせます。通常、管理者がログインできるので、なんとなくうっとおしい機能に感じますが、心当たりがないログインの時に役立ちます。
設定はデフォルトで十分です。
フェールワンス
フェールワンスは正しいアカウン/パスワードでも一度失敗する機能です。フェールワンスを設定する理由はリスト攻撃に対応するためです。
5秒以降60秒以内に再度正しく入力したらログインができます。
リスト攻撃とは不正入手など予め手に入れたパスワードやユーザー名を使ってログインを試みる方法です。なので、1度失敗してログインすることによって攻撃者をだますことができます。
XMLRPC防御
XMLRPCはスマートホンアプリや外部システムから投稿や画像のアップロードを行うときに使われるプロトコルです。
ピンバックとはトラックバックに似た機能でWordpressを利用している人同士が使える機能です。トラックバックは、誰かの記事を参考にして記事を書いたときに利用する機能です。相手の記事のリンクを自分の記事に貼った時、そのことを知らせ、また相手に自分のリンクを貼ります。
便利な機能ですが、これら機能を使って攻撃をしかけてきます。XMLRPCを利用しているプラグインがありますので、様子を見て無効化にするかそのままにするか決めてくださいね。ピンバック無効化またはXMLRPC無効化(全体のXMLRPC)のどちらかになります。
ユーザー名漏えい防御
最近追加された項目です。
“/?author=数字” のアクセスによるユーザー名の漏えいを防止します。また、REST API によるユーザー名の漏えいを防止するため、REST API を無効化することができます。
ユーザー名の漏えいはセキュリティ効果が低くなるからです。ユーザー名とパスワードで管理画面へログインするので、ユーザー名が分かるとあとはパスワードの推測だけとなるからです。
更新通知
WordPress、プラグイン、テーマの更新があった時メールで通知するかどうかを設定します。
頻繁に記事を更新する場合はあまり必要性があるとは思いません。それはサイトヘルスで知らせてくれるからです。でも、しばらく更新しない場合は通知をONにしましょう。
WAFチューニングサポート
これはレンタルサーバが(株)ジェイピー・セキュアのWAFを導入している場合に使える機能です。なので、SiteGuardの使い方のサイトをご参考くださいね。
ちなみに、さくらのレンタルサーバ スタンダード のレンタルサーバーは(株)ジェイピー・セキュアのWAFを導入しています。
詳細設定
IPアドレスの取得方法を選びます。通常はデフォルトのリモートアドレスのままで大丈夫です。
サーバが沢山ある企業や学校であればプロキシサーバーやロードバランサーが必要で、設定が必要です。大体は必要ありませんので、デフォルトのままで大丈夫です。
ログイン履歴
いつ、どこからログインをしたか分かります。ログインアラートで心当たりのないログインが行われたときや、ログインアラートを設定していない場合は必ず確認しましょう。
ログイントラブル
もしログインページが分からなくなった場合、さくらのレンタルサーバ スタンダード でのコントロールパネルにあるインストール一覧の管理画面URLからログインすることができます。
ほかにも「.htaccecc」ファイルにログインページが明記されているので、FTPソフトでファイルを開き該当する箇所を確認します。
まとめ
以上で「SiteGuard WP Plagin」の使い方を説明してきました。
「SiteGuard WP Plagin」はログイン画面の強化ができるなどWordPressのセキュリティ対策になくてはならない存在です。WordPressをインストールしたらすぐにプラグインをインストールして有効化にしましょうね。
そして、有効化すると同時に管理画面URLが変更されますので、必ずメモかブックマークを忘れずにしてくださいね。
セキュリティ系プラグインを入れることも大事ですが、サイバー攻撃に強いレンタルサーバーを選ぶことも同じくらい大事です。さくらのレンタルサーバーはSiteGuradと同じ会社のWAFを設定していますよ。SiteGuradとさくらのレンタルサーバーで、セキュリティ対策を強化したいですね。