【SiteGuard WP Plugin】の使い方・設定方法について
WordPressは初心者でも使いやすい仕様となっているほか、さまざまなプラグインを導入することで使い勝手のよい仕様にカスタマイズすることもできます。
今回ご紹介するセキュリティプラグインは、コンテンツ利用者を悪意のあるユーザから守るためのツールとして、非常に役立ちます。
本記事では、セキュリティ対策として弊社が使っている「SiteGuard WP Plugin」というプラグインの、機能や設定を紹介します。
SiteGuard WP Pluginで何ができる?
「SiteGuard WP Plugin」は、WordPressにインストールすれば無料で使える、セキュリティ向上のためのプラグインです。日本語にも対応しているため、英語が使えなくても簡単に扱え、ログインページや管理ページへの不正アクセスを未然に防げます。
WordPressの初期セキュリティは貧弱で、管理画面は誰でもログイン可能な状態です。
さまざまなセキュリティ機能を持っているため、情報機密度向上に役立つプラグインです。
設定方法
SiteGuard WP Pluginのインストール後、有効化すると自動でログインページのURLが変更されます。
※wp-login.phpが「login_<5桁の乱数>」に変わるという変更です。
新ログインページURLは管理者宛メールで通知されます。
上記以外にも【画像認証】【ログイン詳細エラーメッセージの無効化】【XMLRPC防御】など、一部推奨している機能がONの状態となっているため、初期設定から大きく変更する必要も特にありません。
次に、それぞれの機能について簡単にご紹介しておきます。
SiteGuard WP Pluginの機能
管理ページアクセス制限
本ソフトに24時間ログインしていないIPアドレスから、管理ディレクトリ(/wp-admin/)を保護する機能です。該当するIPアドレスから接続すると「404NOT FOUND」が表示されます。
| 当サイトでよくする設定 | OFFのまま |
|---|
ログインページ変更
管理者ページからログインページへリダイレクトしないにもチェックを入れます。
| 当サイトでよくする設定 | ONのまま |
|---|
画像認証
ログインページとコメント投稿、パスワード確認に「英数字」または「ひらがな」を利用した画像認証が追加できる機能です。
ひらがなは清音のみで、濁音、半濁音、促音便などは入力できません。(例:がぽっ)
| 当サイトでよくする設定 | ONのまま |
|---|
ログイン詳細エラーメッセージの無効化
ログインエラーをするとメッセージが返ってくる仕様です。一定以上の回数失敗すると、ロックされます。
この機能はブルートフォース攻撃(漏洩情報リストのIDから、総当りでパスワードを特定する)や、レインボー攻撃(特定の文字列に対して出力される特定の値「ハッシュ」の表を作成し、盗んだデータと比較してパスワードを特定する)の被害を防ぎます。
| 当サイトでよくする設定 | ONのまま |
|---|
ログインアラート・更新通知
ログインされたことやプラグイン・テーマ・WordPressの更新を通知します。
通知することで、なりすましでの利用(乗っ取り)やデータ改ざんを防止します。
| 当サイトでよくする設定 | 両方ともON |
|---|
フェールワンス
機密性を高くしたい情報に利用されるセキュリティの手法です。
フェールワンスを利用すれば、正しいパスワードを入力しても、入力に失敗したものと、一度は表示されます。万が一IDやパスワードが漏洩しても「正しいパスワード」と見なされないため、悪意あるユーザからの目くらましが可能です。
こちらはクライアント側の意向を確認し、ON・OFFは決めております。
| 当サイトでよくする設定 | ONするケースの方が多い |
|---|
XMLRPC防御
WEB上で、情報のやりとり(ピンバック)を利用した「DDoS攻撃」や、ブルートフォース攻撃からサイトを守ります。XMLRPCは、遠隔手続き呼び出しのプロトコルです。XMLRPC防御と、ピンバック無効化(デフォルト)が設定可能です。
| 当サイトでよくする設定 | ONのまま |
|---|
ユーザー名漏洩防御
“/?author=数字”のサイトにアクセスすることで、数字に紐づいたユーザ名の表示を防ぎます。プラグイン上でON、OFFが可能で、デフォルトではOFFに設定されています。
利用者が多いサイトや、組織で利用するならば特に気を付けたい項目です。
IDが漏洩すると、ブルートフォース攻撃、パスワードが漏洩するとリバースブルートフォース攻撃の対象となりますので、しっかりと漏洩防止対策を心がけることがおすすめです。
| 当サイトでよくする設定 | ONに変更 |
|---|
WAFチューニングサポート
WAF(外部サーバーと内部サーバーの間をつなぐインターフェース)に通過させるページの、条件絞り込み調整ができる機能です。
セキュリティの条件を絞りすぎるとかえって不便になることがあります。
レンタルサーバーを借りていると、使用するサーバーごとに一部のアクセスが遮断されてしまうことがあります。本機能は、それらの本来通過させたいサイトのうち、フィルタリングされてしまうサイトを、「例外」として登録できる機能です。
こちらの機能のポイントは、悪いサイトを除外するのではなく、本当に信頼できるサイトを選別する方向での使用ができる点です。
SiteGuard WP Pluginの注意点
使用する機能の概要に触れましたが、実際に用いる際は、後述の点について注意しましょう。
ログインURLを忘れた場合
SiteGuard WP Pluginは、インストールした時点でWordPressのURLが変更されます。
ページを飛んでいくうちに、もとの作成されたログインURLが分からなくなった場合は、 初期ログインのメール、または”.htaccess”ファイルを確認するとよいでしょう。
大抵は、インストールしたWordPressのディレクトリ配下にあり、テキストエディタにて開けられます。
まとめ
SiteGuard WP Pluginは、インストールするだけで簡単に利用できるWordPres向けのソフトです。利用は無料であるため、ぜひ積極的に活用したいものです。WordPress初心者の方はインストールや設定方法から確認しましょう。
また、セキュリティやフィルタリングは機能すればするほど不便になることもあります。
使う機能と使わない機能は、それぞれONとOFFを切り替えることで調整しておくことがおすすめです。
プラグインを上手く利用して、制作するWEBページを訪問者が、悪意あるユーザーからの脅威に脅かされることなく利用できる環境を作りましょう。
この記事の執筆者
TANE-be編集部
大阪・京都にあるWebサイト制作の株式会社TANE-beのスタッフが編集。