【超初心者】WordPressのプラグイン-SiteGuard WP Plugin設定
- 2018.08.28
- 2018.09.24
- Wordprss プラグイン
- SiteGuard WP Plugin, Wordpress, プラグイン, ワードプレス, 初心者, 始め方, 超初心者
SiteGuard WP Plugin
続いてのプラグインは「SiteGuard WP Plugin」
専門用語を出来るだけ使わずに説明しますと、WordPressというのは
誰でも無料で使えるシステムになっています。
普通はお金を取って販売するところを無料で使わせてくれるんです(^^♪
しかし、日本のことわざにありますよね?
「タダより怖いものはない」
いや、Wordpress自体は別に危険なわけではありません。
しかし、無料で誰でも使えるようにオープンにしているということは、
裏を返せば『悪意を持った人間も同じく無料で簡単に使える』
ということです。
特に最近はWordpressを使って作成されたHPが増えてきており、
それに伴ってWordpressを狙った悪意をもった攻撃も同様に増えているのです。
そんな悪意を持った攻撃からサイトを守ってくれるのが、このプラグインなのです♪
「まだブログ書いてないから大丈夫~」とか
「自分のブログには価値がないから攻撃なんてされない~」
とか、そんなことを思っていてはマンマと餌食になるでしょう。
なので最初のうちにしっかりと対策をしておきましょう!
さてそれでは早速インストールをしていきます。
例のごとく、
プラグイン→新規追加→SiteGuard WP Pluginで検索
→インストール→有効化
と進めます。
ここまではもう大丈夫ですよね(・・;)
有効化をすると、下図画面に移行します。
画面上部に 【ログインページが変更されました】と出ています。
忘れないうちに 「新しいログインページURL」をクリックしてブックマークしましょう。
ひらがなの画像認証が新しく加わっていますね。
これで海外からの不正ログインはほぼ防げるでしょう。
ここからログインするとわかりますが、ログインするたびにIPアドレス付きのメールが届きます。
これでさらに安心ですね。
続けて設定を見ていきましょう。
右側メニューから「SiteGuard WP」のダッシュボードをクリックします。
赤い枠で囲まれているところが現在の設定状況一覧です。
✔マークがついているものが有効にされているということです。
それではひとつずつ設定の中身を見ていきましょう。
管理ページアクセス制限-ON
管理ページアクセス制限をクリックします。
ここは、
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
ということです(笑)
大事なのは赤文字部分。 Wordpressの性質上、誰でもログイン画面を表示することが出来るんです。
2個上の画像のような画面ですね。
このブログを見ているアナタでも、簡単な方法で私のブログのログイン画面を呼び出すことが出来ます。
あとはそこでブルーフォースアタックをすればそのうちログインできてしまうわけです。
なので、それを出来ないようにしましょうってことですね。
当然ONにしてください。
赤い囲みのように、ONの背景が黒くなっていれば設定完了です。
除外パスはデフォルトのままで【変更を保存】をクリックしてください。
※要注意※
もし、普段お使いのパソコン以外からもログインする必要がある場合、
例えば、普段は家でWordpressをやるけど、会社でも休憩時間にログインするとか、
出先でWi-Fiや携帯のロンダリングで接続するとか、ネカフェからログインするとか。
この管理ページアクセス制限という機能は、ようは
【1か所のパソコンからしかログイン画面に行けないよ】
とする設定なわけです。
管理ページアクセス制限をonに操作したパソコン以外からは接続が出来なくなりますので、
出先では絶対にon設定にしないこと。
また、他のパソコンからログインする必要がある人はoffにしておくことを推奨します。
・ログインページ変更-ON
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
説明通り、ログインページを変更します。
というか、すでに変更されていますね(笑)
「変更後のログインページ名」というのが新しいログインページになります。
ONにして変更を保存してください。
・画像認証-ON
ログインページなどでの画像認証の有無を設定します。
下図のようにすべて【ひらがな】を選択して【変更を保存】をクリック。
すべてひらがなにすることで日本以外からの不正ログインに対して最大限の効果を発揮します。
・ログイン詳細エラーメッセージの無効化-ON
例えば通常だとログイン画面で
・ユーザー名は正解
・パスワードは正解
・画像認証が不正解
だった場合に、画像認証が違いますというような内容のエラーメッセージがでるんですね。
これだと不正ログイン者にヒントを与えているようなものです。
ONにすると、常に同じエラーメッセージしか出てこないので、
どこが正解でどこが不正解かわからないようになります。
ONにして変更を保存してください。
・ログインロック-ON
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
下図の設定だと、
「5秒間」に「3回」ログインを間違えた場合「5分間」そのIPアドレスからのログインをブロックする
設定になっています。
期間、回数、ロック時間はお好みで設定してください。
自分で間違えた時にロックされるのが嫌な場合は、期間を1秒か5秒にしておけば大丈夫です。
ONにして変更を保存してください。
・ログインアラート-ON
ログインがあったときにメールでお知らせしてくれる機能です。
ONにして変更を保存してください。
・フェールワンス
ログイン時に正しい情報を入力しても必ず1回は失敗させる機能です。
パスワードなどが流出した場合に手当たり次第に流出リストから入力される時などに効果を発揮します。
そうめったにあることではないでしょうし、ログイン時の手間もありますのでどちらでも大丈夫です。
・XMLRPC防御-ON
XMLRPCとは簡単に言うとあるポログラムを使った自動投稿や遠隔操作などをするためのものです。
これは非常に便利な反面、悪意のある攻撃に対して非常にリスキーです。
世の中、より便利なものほどリスクが大きいということです。
車や病気のお薬、スマホなどをみてもそう感じてもらえると思います。
スマホアプリからブログを投稿したり、PCにインストールするエディタからブログを投稿したりしない人は
・XMLRPC無効化を選択しておきましょう。
それ以外の人は
・ピンバック無効化 のほうを選択しておきましょう。
最後にONになっているのを確認してから【変更を保存】クリックです。
・更新通知-ON
WordPressのセキュリティの基本中の基本
「テーマ」「プラグイン」は常に最新版に更新。
これを守るために最適な機能です。
・Wordpressの更新…有効
・プラグインの更新…アクティブなプラグインのみ
・テーマの更新…アクティブなテーマのみ
最後にONになっているのを確認して変更を保存します。
・WAFチューニングサポート
これはOFFにします。
以上で設定は完了です!(^^)!
最後に「ログイン履歴」は定期的にチェックしましょう。
見慣れないIPアドレスからなどの攻撃があった場合は素早くセキュリティの見直しを行います。
以上、Wordpressのプラグイン、SiteGuardについてでした!
関連記事を表示
-
前の記事
【超初心者】WordPressのプラグイン-Google XML Sitemaps設定 2018.08.27
-
次の記事
【超初心者】Wordpresのプラグイン-TinyMCE Advanced設定 2018.08.28
コメントを書く