こんにちは、えむです。
今回は、初めに導入しておくべきプラグインのうち、WordPressへの不正アクセスを防ぐセキュリティ対策ブラグイン「SiteGuard WP Plugin」の設定方法を、図を交えて丁寧に解説していきます。
目次
プラグインとは何?
プラグインとは、WordPressなどの機能を拡張するためのプログラムのことです。プラグインをインストールして機能を拡張させると、WordPress単体にはなかった機能を使えるようになります。RPGゲームに例えると、武器や防具などの装備を整えるようなものです。
ただし、あまりにたくさんのプラグインをインストールしすぎると、ブログの動きが重くなるなどの影響が出てしまいますので、インストールするプラグインは選ぶようにしましょう。
「SiteGuard WP Plugin」とはどんなプラグイン?
「SiteGuard WP Plugin」とは、「SiteGuard(サイトガード)」の名前が示す通り、サイトを守ってくれるプラグインです。IDとパスワードの組み合わせをランダムにくり返し試すことで、無理やりWordPressへログインしようとする悪意を持った第三者の攻撃から、WordPressを守ってくれます。
この「SiteGuard WP Plugin」には、そうした不正アクセスからWordPressを守るために必要な項目がそろっています。前回解説した「All In One WP Security & Firewall」と合わせて、導入しておきましょう。
ちなみに、「All In One WP Security & Firewall」については、こちらのページで解説しています。
↓↓↓
WordPressへの不正アクセスを防ぐセキュリティ対策プラグイン「All In One WP Security & Firewall」の設定方法
「SiteGuard WP Plugin」のインストール方法
まず、WordPressの管理画面にログインします。そうしたら、左のメニューの「プラグイン」をクリックします。
下図のような画面が出てくるので、「新規追加」をクリックします。
下図のような画面が出てくるので、右上の検索バーに「SiteGuard WP Plugin」と入力します。
入力したら、エンターキーを押します。
下図のような検索結果の画面が出てくるので、「SiteGuard WP Plugin」を探して「今すぐインストール」をクリックします。
下図のような画面に切り替わるので、「有効化」をクリックします。
下図のように、「プラグインを有効化しました。」という文言が出てきたら、有効化は完了です。
そしてこのとき、「ログインページURLが変更されました。」という文言も出てきます。プラグインを有効化したことで、よりセキュリティレベルの高いURLに自動で変更されました。「新しいログインページURL」というリンクをクリックした先のページが新しいログインページになるので、ブックマーク(お気に入り登録)をし直しておきましょう。(変更前のURLは使用できなくなります。)
なお、この新しいログインページURLは、登録してあるメールアドレスに送られてくるので、そちらもきちんと保存しておきましょう。
WordPressの管理画面の左のメニューの「インストール済みプラグイン」に「SiteGuard WP Plugin」が追加されました。
これで、「SiteGuard WP Plugin」のインストールは完了です。
「SiteGuard WP Plugin」の設定方法
WordPressの管理画面の左のメニューの「SiteGuard」にカーソルを合わせ、出てきたメニューの「ダッシュボード」をクリックします。
ダッシュボードで全体のセキュリティ項目が確認できます。緑色のチェックマークが入っているものが、現時点で「ON」になっている項目です。セキュリティ設定を上から順に確認していきましょう。
管理ページアクセス制限
この設定はデフォルトでは「OFF」になっていると思いますが、えむは「ON」にすることをおすすめします。そうしておけば、ログインしていないユーザーをWordPressの管理画面にアクセスできないようにしてくれるからです。まずは、ダッシュボードの「管理ページアクセス制限」をクリックします。
下図のような設定画面がでてきます。
①「OFF」を「ON」に切り替えます。
②他の部分はそのままさわらずに、「変更を保存」をクリックします。
ログインページ変更
こちらは、デフォルトのままでOKです。この「SiteGuard WP Plugin」をインストールした時点でログインページの変更は完了しているので、変更後のログインページのURL(赤い枠で囲った部分)を確認しておきましょう。
画像認証
こちらは、デフォルトのままでOKです。これを「ON」にしておけば、ログイン画面に「画像認証」を設置することができます。
画像認証を設置すると、ログイン画面は下図のようになります。(赤い枠で囲った部分が画像認証です。)ログインにID・パスワード以外に画像認証も加わると、より不正アクセスは難しくなります。
ログイン詳細エラーメッセージの無効化
これは、デフォルトのままでOKです。この設定を「ON」にしておくと、ログインに失敗したときに表示されるメッセージが毎回同じ内容になります。
なぜ、そういう設定にしておくかというと、WordPressにはログインに失敗したとき、なぜ失敗したかを教えてくれる機能(ログイン詳細エラーメッセージ)があるのですが、それを悪意を持った第三者に見られたら、ログインを成功させるためのヒントを与えてしまうことになるからです。
ログインに失敗したときに毎回同じ内容が表示されるようにしておけば、何が原因でログインに失敗したかはわからないままになるので、不正アクセスは難しくなります。
ログインロック
これは、デフォルトのままでOKです。この設定を「ON」にしておけば、くりかえしログインに失敗したユーザーに対して、一定時間ログインできないようにロックをかけることができます。
例えば、上図のデフォルト設定の場合、「5秒間に3回ログインに失敗したら、1分間ログインがロックされる」ということになります。「5秒? 1分? 短すぎない?」と思うかもしれませんが、こういう不正アクセスは、ほぼプログラムを使って機械的に行われているので、こういう極端に短い時間でも十分に効果があります。
ログインアラート
これは、デフォルトのままでOKです。「ON」にしておくことで、WordPressの管理画面へのログインについて通知してくれます。これで、不正アクセスにいち早く気づくことができます。
なお、この通知はあなた自身がログインしたときにも送られてきます。ですから、「えっ、自分でログインしただけなのに何で通知がくるの!?」と不安に思う必要はありません。
フェールワンス
これは、デフォルトのままでOKです。(デフォルトではOFFになっています。)
この設定を「ON」にすると、必ず初回ログインを1度失敗するようになります。そうすることで、ランダムにIDとパスワードを入れることをくりかえして、たまたまあなたのブログのIDとパスワードに合致してしまった場合でも、初回ログインの失敗で「あ、このIDとパスワードは違ったんだな。」と偽装することができることができるのです。
ただ、実際に最もログインすることが多いあなたの方からすると、毎回初回ログインを失敗されるのは面倒くさいでしょうから、この設定は「OFF」で良いでしょう。
XMLRPC防御
これは、デフォルトのままでOKです。(デフォルトでは、「ピンバック無効化」にチェックが入った状態で「ON」になっています。)
「ピンバック」とは、あなたのブログにリンクが貼られたことを通知する機能です。この機能を悪用して、特定のサーバーにアクセスを一斉にすることで、サーバーに大きな負荷を与えてダウンさせる攻撃が行われたことが、問題になったことがあります。こうした攻撃は、「ピンバック無効化」を「ON」にしておけば防ぐことができます。
WAFチューニングサポート
これは、デフォルトのままでOKです。(デフォルトでは「OFF」になっています。)WAFとは「web application firewall(ウェブアプリケーションファイアウォール)」の略称です。特にWAFを導入していないのであれば、サポートは必要ないので「OFF」にしておきます。
ログイン履歴
一番下にある「ログイン履歴」をクリックします。
「ログイン履歴」画面では、ログインの成功・失敗に関わらず、ログインの履歴が表示されます。もし、この履歴の中に心当たりのない「ログイン名」があれば、それは不正アクセスをしようとしてきた第三者だと判断できます。
最後に
いかがでしたか?
「SiteGuard WP Plugin」の設定方法について、理解していただけたでしょうか?
以前に解説した「All In One WP Security & Firewall」と同様、この「SiteGuard WP Plugin」も、ブログのセキュリティレベルを上げるために必要なプラグインです。確実に導入しておきましょう!
「All In One WP Security & Firewall」については、こちらのページで解説しています。
↓↓↓
WordPressへの不正アクセスを防ぐセキュリティ対策プラグイン「All In One WP Security & Firewall」の設定方法
