ワードプレスのセキュリティ面は、残念ながらそこまで高いとは言えません。
そこで今回は不正アクセス防止のプラグインである、「SiteGuard WP Plugin」の設定方法について紹介しています。
目次
SiteGuard WP Plugin「不正アクセスを防御」デフォルトでも高い防御力
「SiteGuard WP Plugin」は、WordPress(ワードプレス)の不正アクセスを防いでくれるプラグインです。
設定を操作しなくても、最初のデフォルト設定でも高い防御力を発揮しますが、設定項目がどのような意味を持っているのかを知っておいても損はありません。
そこで、「SiteGuard WP Plugin」の設定項目を順に紹介していきます。
SiteGuard WP Pluginのインストール方法
「SiteGuard WP Plugin」プラグインのインストール方法は、ダッシュボード→プラグイン→新規追加で「プラグインの追加」画面へと変わります。
新しくプラグインをインストールする際はこのルートで画面を表示させるか、「インストール済みプラグイン」を表示させてから画面上部の「新規追加」をクリックしましょう。
赤枠内にインストールしたいプラグインの名前を入力すると、候補のプラグインが表示されます。
今回は「SiteGuard」と入力すると、「SiteGuard WP Plugin」のプラグインが表示されます。
「今すぐインストール」をクリックすると、「SiteGuard WP Plugin」のプラグインがインストールされます。
インストールが終わると、今度は「有効化」というボタンが表示されますので、クリックしましょう。
多くのプラグインは、この「有効化」のボタンをクリックするだけで機能しますが、中には自分で設定をした方がいいプラグインもあります。
この「SiteGuard WP Plugin」はデフォルトでも十分ですが、設定項目を調べることでどんな意味があるのかを知ることができ、自分好みの設定にすることができます。
SiteGuard WP Pluginの設定
この「SiteGuard WP Plugin」は有効化のボタンをクリックすると、ワードプレスにログインするためのURLが変更されます。
変更前→https://自分のドメイン名/wp-login.php/
変更後→https://自分のドメイン名/login_○○/
(○○部分には何かしらの文字が入ります)
こんな感じで確認メッセージが表示されますので、必ず「新しいログインページURL」をクリックして新しいログインURLを表示させてメモするか、ブックマークをしておくのを忘れないようにして下さい。
「新しいログインページURL」を忘れると、管理画面へアクセスできずにワードプレスを使えなくなってしまいます。
ですが、「SiteGuard WP Plugin ログインページ 忘れた」とググれば解決策は出てきますのでご安心を。
SiteGuard WP Pluginのダッシュボード
「SiteGuard WP Plugin」のプラグインを有効化すると、ダッシュボードに「SiteGuard」と表示されていますので、「SiteGuard」にマウスポインタを重ねると「SiteGuard」のメニュー一覧がすぐ右に表示されますので、「ダッシュボード」をクリックします。
そうすると、「SiteGuard WP Plugin」のダッシュボードが表示されます。
①「管理ページアクセス制限」
ここはデフォルトでは「OFF」になっているので、「ON」にスイッチを切り替えて下さい。
これは、24時間ワードプレスにログインしていないIPアドレスからのアクセスを遮断する機能です。
ログインし直す手間はありますが、安全面を考えても大した手間ではありません。
②「ログインページ変更」
ここはデフォルトでは「ON」になっているので、「ON」のままで大丈夫です。
ここは「オプション」の赤丸部分にチェックを入れるだけでも大丈夫ですが、心許ない方は赤枠内のログインIDを変更して下さい。
ただし、変更したIDをメモしておかないと、当然のことですがアクセスできませんので注意して下さい。
③「画像認証」
ここはログインページなどの認証ページの「ひらがな」を、「英数字」にするかどうかの項目です。
入力しやすい方へと、変更して下さい。
④「ログイン詳細エラーメッセージの無効化」
ここはデフォルトでは「ON」になっているので、「ON」のままで大丈夫です。
この項目は何かというと、パスワードやユーザー名を間違えて入力した時に返ってくるメッセージを、全て同じにしてどの項目が間違ったのかを知らせないようにする項目です。
この項目を「OFF」にすると、例えばユーザー名が正しく入力されていてパスワードが間違っていた場合、「パスワード」が違いますとエラーメッセージが表示されますので、ユーザー名がその時点でバレることになります。
⑤「ログインロック」
ここはデフォルトでは「ON」になっているので、「ON」のままで大丈夫です。
デフォルト設定でも大丈夫ですが、より強固にしたい場合は変更しても大丈夫です。
デフォルト設定の場合は、「5秒の間に3回ログインに失敗すると、1分間のアクセス禁止」という意味です。
人間が実際に行うのは難しそうですが、プログラムによる総当たり攻撃だと難なく行える回数です。
ロック時間を長くしてもいいですが、自分がもし3回ログインに失敗してしまうと、5分間ログインできませんのでよく考えて設定しましょう。
⑥「ログインアラート」
ここはデフォルトでは「ON」になっているので、「ON」のままで大丈夫です。
ワードプレスにログインがあった場合に、設定したメールアドレスにメッセージを送ってくれる機能です。
もしも自分以外の誰かが、不正にログインした場合にもメッセージを送信してくれるので便利な機能です。
⑦「フェールワンス」
ここはデフォルトでは「OFF」になっているので、そのまま「OFF」でも大丈夫です。
この機能は何かというと、正しいユーザー名とパスワードを入力しても、「必ず1回ログインに失敗する」という変わった機能です。
ですので不正にアクセスしようとしても、正しい入力をしても必ず1回ログインに失敗するので、正しい情報を2回連続して入力しない限りは永遠にログインできません。
⑧「XMLRPC防御」
ここはデフォルトでは「ON」になっていて、「ピンバック無効化」にチェックが入っていれば大丈夫です。
この項目は何かというと、自分のブログに「第三者」の記事などのURLを貼った時に、相手先へリンクを張ったことを通知する機能です。
この通知に対し、相手先が「了承」してくれると相互リンクになり、「被リンク」が得られることになります。
ですがセキュリティ面で考えると「無効化」にしておいた方が安全ですので、デフォルト設定をおススメします。
⑨「ユーザー名漏えい防御」
ここはデフォルトでは「OFF」になっています。
この項目は文字通り、ユーザー名がバレるのを防ぐことを目的としています。
通常、「https://ユーザーアドレス/?author=1」と入力すると、ユーザー名が表示されてしまいますので、不正アクセスの可能性が高まってしまいます。
ですがこの項目を「ON」にすると、ユーザー名が表示されるのを防いでくれますが、その場合「REST API 無効化」にチェックを入れる必要が出てきます。
ただ、「REST API 無効化」にチェックを入れてしまうと動作しないプラグインがありますので、それを防ぐために「除外プラグイン」を入力する必要が出てきます。
ユーザー名を変えるプラグインは「Edit Author Slug」で代用できますので、除外プラグインを入力するのが面倒な方は、「Edit Author Slug」のプラグインをインストールする方をおススメしますので、今回は設定を「OFF」のままで先に進みます。
⑩「更新通知」
ここはデフォルトでは「ON」になっています。
この項目はワードプレスのテーマやプラグインに、「更新」のデータがある時にメッセージを送ってくれる機能です。
毎日ワードプレスにログインされている方でしたら、特に必要はないかと思いますので、設定を「OFF」にしても問題はありません。
⑪「WAFチューニングサポート」
この項目はデフォルトでは「OFF」になっているので、そのまま「OFF」でも大丈夫です。
レンタルサーバーによっては無料で導入されていますので、自分のレンタルサーバーが導入されているかどうかを調べてみましょう。
⑫「ログイン履歴」
その名の通り、ログイン履歴です。
一度見てみることをお勧めします。
私のワードプレスにも、第三者による侵入の跡が毎日のように記録されていて驚きました。
「SiteGuard WP Plugin」のプラグインのおかげと言ってもいいでしょう。
プラグイン「SiteGuard WP Plugin」まとめ
以上で「SiteGuard WP Plugin」の設定の説明は終了ですが、デフォルトの設定でも十分機能性は高いですし、自分で設定し直すにしてもそんなに難しくはありませんので、是非とも自分の手で設定し直すことによって、どういった機能なのかを知ることは、セキュリティに関する知識も増えますのでおススメです。
「SiteGuard WP Plugin」を有効化するとログインアドレスが変更されるので、変更されたアドレスをメモするか、ブックマークをするのを忘れないようにだけはしましょう。
ログインページ名を変更した時も、変更後の名前をメモしておくのをお忘れなく。