こんにちは、久川和人です。

最近は、レンタルサーバーを契約すれば、WordPressを自動で構築できるようになりました。

それに伴い、WordPressに不正アクセスを行おうとする攻撃も増えてきています

WordPressに不正アクセスされると、

  • あなたがWordPressにログインできない。
  • WordPressの中身が消えてしまう。書き換わってしまう。
  • あなたのWordPressを踏み台として悪用され、犯罪に加担してしまう。

などどいうことが起こります。

『自分は大丈夫』って思っていると、ある日突然、不正アクセスされ思わぬ事態に!!

そこで今回は、WordPressを様々な攻撃から守る『SiteGuard WP Plugin』の設定方法ついて説明していきます。

この『SiteGuard WP Plugin』を導入すると、ログイン時に、画像認証が追加されます。
画像認証

実際、僕が運営しているあるサイトでも、不正アクセスを行おうとした形跡があります。

他人事と思わずに、不正アクセス対策をしていきましょう。

『SiteGuard WP Plugin』とは

『SiteGuard WP Plugin』は、日本法人であるJP-Secure社が開発した無料のプラグインです。セキュリティ会社が開発しているので、安心して使用することができます。しかも、すべて日本語です。

機能としては、

  • WordPress管理ページのアクセス規制
  • ログインページのURL変更
  • ログインページの画像認証の追加
  • ログイン失敗を繰り返したときに一定期間ロック(ログインロック)
  • ログイン時アラートメール送信(ログインアラート)
  • 正しい情報を入力してもログインを1回失敗させる(フェールワンス)

などがあります。

機能を有効にするかどうかは、細かく設定できるので、必要な機能のみ有効にすることもできます。

『SiteGuard WP Plugin』のインストール方法

それでは、『SiteGuard WP Plugin』のインストールを行っていきます。

①WordPress管理画面にアクセスします。

②管理画面の左メニューの【プラグイン】【新規追加】をクリックします。
プラグイン導入

③右上のキーワードに【siteguard wp plugin】と入力し、
④【siteguard wp plugin】の【今すぐインストール】をクリックします。
SiteGuardWPPluginインストール

⑤【有効化】をクリックします。
有効化

⑥プラグイン一覧画面に切り替わり、『ログインページURLが変更されました。』と表示されます。ログインページURLはこのあと確認するので、この時点でブックマークを変更しなくてもよいです。
プラグインのインストール完了

また、WordPressに設定されているメールアドレスに、変更されたURLが記載されたメールが送信されます。
WordPressメール

『SiteGuard WP Plugin』の設定方法

①WordPress管理画面の左メニューの【SiteGuard】をクリックします。
SiteGuard管理画面に移動

②【SiteGuard WP Plugin】のダッシュボード(管理画面)が表示されます。
SiteGuardダッシュボード

おすすめの設定内容

基本的には、インストール時のままで十分ですが、一か所だけ追加で有効にするといいです。

追加で有効化してほしいのは、『管理ページアクセス制限』です。この機能を有効にすると、ログインされていないユーザー(24時間以内にログインしたことのない接続元IPアドレス)が直接WordPress管理画面配下のページにアクセスできないようになります。

例えば、直接投稿一覧を開く場合のURLは、”https://<あなたのドメイン>/wp-admin/edit.php”となります。通常は、ブラウザに直接URLを入力するとアクセスできますが、それをできないようにする機能です。
SiteGuard機能一覧

つぎに各項目を設定方法を説明していきます。

管理ページアクセス制限

有効にすることをおすすめします。

ログインされていないユーザー(接続元IPアドレス)が、WordPress管理画面に直接アクセスできないようにする機能です。

24時間以内にログインしていない接続元IPアドレスは、”//<あなたのドメイン>/wp-admin/以降”へログインせずにアクセスすると、404エラーになり接続できません。

これにより、不正アクセスをしようとしても、WordPress管理画面にアクセスできなくなります。

【管理ページアクセス制限】をクリックします。
管理ページアクセス制限をクリック

【ON】をクリックし、
【変更を保存】をクリックします。
管理ページアクセス制限を有効

④『設定を保存しました。』と表示されます。
保存されました

ログインページの変更

有効にすることをおすすめします。

WordPress管理画面のログインするためのURL(”//あなたのドメイン/wp-admin.php)を変更させる機能です。

WordPress管理画面のログインページを変更することで、不正アクセスによるログイン画面の表示をさせにくくすることができます。

①WordPress管理画面の左メニューの【SiteGuard】⇒【ログインページ変更】をクリックします。
ログインページ変更

②【変更後のログインページ名】を必要に応じて修正します。
③変更した場合は、【変更を保存】をクリックします。
ログインページの変更

【変更後のログインページ名】を変更した場合は、ブックマークなどを変更してください。なお、変更した場合は、WordPressに設定されているメールアドレスに、変更されたURLが記載されたメールが送信されます。

 もし、変更後のURLがわからなくなってしまった場合は、「.htaccess」ファイルの中身を見ればわかります。「.htaccess」ファイルの”RewriteRule ^login_08059(.*)$ wp-login.php$1 [L]”の黄色部分”login_08059”がURLです。

 

画像認証

有効にすることをおすすめします。

ログイン時やコメント時に、ひらがな、または、英数字による画像認証をさせる機能です。

ブルートフォース攻撃、パスワードリスト攻撃などの不正ログインやスパムコメントを防ぐことができます。

①WordPress管理画面の左メニューの【SiteGuard】⇒【画像認証】をクリックします。

画像認証を選択

②それぞれのページで、画像認証(ひらがな、英数字、無効)を選びます。
画像認証を設定

画像認証を設定すると、つぎのように画像認証が追加されます。
画像認証

ユーザー名、パスワードの他に、画像認証が必要なため、不正ログイン対策になります。

ログイン詳細エラーメッセージの無効化

ログイン失敗時のエラーメッセージを常に同じものにする機能です。

ログイン失敗時、何が原因かわからないようにします。

①WordPress管理画面の左メニューの【SiteGuard】⇒【ログイン詳細エラーメッセージの無効化】をクリックします。
ログイン詳細エラーメッセージの無効化

②必要に応じて変更します。
ログイン詳細エラーメッセージの無効化

ログインロック

有効にすることをおすすめします。

繰り返しログインに失敗すると、一定時間、失敗した接続元IPアドレスからのアクセスを禁止する機能です。

WordPress管理画面の左メニューの【SiteGuard】⇒【ログインロック】をクリックします。
ログインロックを選択

②必要に応じて、期間、回数、ロック時間を変更します。
ログインロック設定

ログインアラート

WordPress管理画面にログインすると、ログインしたことを知らせるメールを送信する機能です。

心当たりのないメールを受信した際は、不正がなログインがされていることに気が付きやすくなります。

WordPress管理画面の左メニューの【SiteGuard】⇒【ログインアラート】をクリックします。
ログインアラートを選択

②必要に応じて変更します(特に変更は不要です)。
ログインアラート設定画面

フェールスワン

正しい情報でログインしても、1回目のログインを失敗させる機能です。1回目のログイン失敗後、5秒~60秒以内に、再度正しいログイン情報でログインできます。

WordPress管理画面の左メニューの【SiteGuard】⇒【フェールスワン】をクリックします。
フェールスワンを選択

②必要に応じて変更します。
フェールスワン設定画面

XMLRPC防御

ピンバック機能、または、XMLRPC機能を無効化する機能です。

XMLRPC機能を使ったアプリからブログを更新したり、XMLRPC機能を使ったプラグインを使用している場合は、ピンバックのみ無効にします。実際には、プラグインでXMLRPC機能を使っているかどうかわからないため、デフォルトの”ピンバック無効化”にするとよいです。

WordPress管理画面の左メニューの【SiteGuard】⇒【XMLRPC防御】をクリックします。
XMLRPC防御を選択

②必要に応じて変更します(特に変更は不要です)。
XMLRPC防御管理画面

更新通知

WordPress、プラグイン、WordPressテーマに更新情報がある場合にメールで通知する機能です。

WordPress管理画面の左メニューの【SiteGuard】⇒【更新通知】をクリックします。
更新通知を選択

②必要に応じて変更します。
更新通知管理画面

WAFチューニングサポート

JP-Secure製のWAF(SiteGuard Lite)が導入されてる場合に誤検知を防ぐために使用します。デフォルトは、【OFF】になっていますので、そのままで問題ありません。

WAFは企業などで導入されているサーバー型のセキュリティ対策ソフトです。

ログイン履歴を確認

ログインした履歴や、不正アクセスがあったかどうかを確認することができます。定期的に、不正ログインがないかどうか確認してみてください。

WordPress管理画面の左メニューの【SiteGuard】⇒【ログイン履歴】をクリックします。
ログイン履歴を選択

②ログイン履歴が表示されます。結果に”失敗”があった場合、不正アクセスの可能性があります。
ログイン履歴

まとめ

『SiteGuard WP Plugin』のインストールと設定方法について説明いたしました。

機能がいろいろあって、難しいと思うかもしれませんが、不正アクセスは起こってからでは遅いので、早めに導入するようにしてくださいね。

また、WordPressやプラグインにも、プログラムのバグなどの脆弱性(セキュリティホール)が存在していることが多いのです。WordPressやプラグインもバージョンアップをして、常に最新のものを使うことを心掛けてくださいね。

もし、このブログを読んで、興味を持った。質問がある。感想がある。などがありましたら、お気軽にお問い合わせにてご連絡くださいね。
久川に問い合わせてみる。

最後まで読んでいただきありがとうございました。

 

プレゼント付き!メルマガ登録はこちら♪

メルマガ登録

久川和人のうつ病克服への日記を別のブログで書いています。読んでもいいよって方は、以下をクリックしてみてくださいね♪
日記
好きなことを仕事にできるブログライティングが身に付く教科書”ドリームライティング”
ドリームライティング

趣味ブログから始めて、
あなたの好きな場所で、好きな時間に、好きなことを仕事にできるブログライティングを身に付けてみませんか?
そんな夢が叶う教科書が”ドリームライティング”です。
今なら僕の特典も付いています。

Twitterでフォローしよう

おすすめの記事