プラグイン

簡単にセキュリティ対策が可能!SiteGuard WP Pluginの設定方法を解説

SiteGuard WP Plugin

WordPressのセキュリティをしっかり行っていますか?僕は過去に不正アクセスを受けたことがあるのですが、被害が出てから思ったのが、もっと早くからセキュリティを強化しておけば良かったということです。

不正アクセスを受けると、甚大な被害を受けてしまいます。甘く考えていると、大きな痛手を負ってしまうので、しっかりセキュリティ対策をして頂ければと思います。

ウエハース
ウエハース
不正アクセスをされてしまうとバックドア(勝手口)を作られてしまうので、次回も簡単に侵入されてしまう恐れがあるよ

初心者にこそセキュリティ強化のプラグイン『SiteGuard WP Plugin』は必須!

WordPressでブログを作るならこれで決まり!
【筆者愛用のSEOに強いレンタルサーバー】

初心者はこれでOK|トップブロガーもみんな使っている
高速・安定・高性能のレンタルサーバー

👉エックスサーバー『X10』

※9月26日まで独自ドメインが無料!

WordPressって、専門的な知識がいらないCMS(コンテンツマネジメントシステム)のため、世界中で広く使われるようになっています。そして、世の中の多くの人がWordPressを使うと、やっぱり不正利用をしようと考える人もいるわけです。

悪意のあるウィルスがその代表格ですね。他にもWordPressを狙う悪質な攻撃があります。

ブルートフォース攻撃とは?
ブルートフォース攻撃とは、WordPressのログインファイルにアクセスし、
繰り返し攻撃をして、ログインを試みる悪質な攻撃のことです。

 

セキュリティ対策はしないと、自分に大きなダメージがあるのですが、そうはいっても、ブログ初心者の場合、どうやってセキュリティ強化をすれば良いのかわからない事が多いです。

ということで、今回は初心者でも簡単にセキュリティ強化ができるプラグインをご紹介します。このプラグインは数回クリックするだけで、セキュリティを強化出来るのでWordPressを使いこなしていない人には最適なプラグインです。

SiteGuard WP Pluginの導入方法

まずは、ダッシュボードからプラグイン→新規追加をクリックしてください。

 

次に下記の画面に移動しましたら「SiteGuard WP Plugin」と検索窓に入力してください。入力しましたら、左に表示されているSiteGuard WP Pluginをインストールして有効化してください。

 

そうすると、左の項目の中にSiteGuardという項目が現れますので、カーソルを乗せると各種項目が出てきます。

ダッシュボードからの選択

SiteGuardには項目ごとに設定が可能なので、今回オススメする設定方法を紹介していきます。まずはSiteGuardの項目にカーソルを乗せて、ダッシュボードをクリックします。

そうすると下記の画面に移動します。ダッシュボードを見ると、このプラグインで、どういうセキュリティ対策が出来るのか教えてくれます。

緑色にチェックが入っているのが現在セキュリティが有効になっている箇所です。
そして、一番下にログイン履歴があります。

ここを確認すると、ログイン「成功」「失敗」と両方、そして誰がログインしようとしたのかがわかります。

ここで知らないログインIDがあったら・・・・・・・怖いですね~。
それだけ自分のサイトは狙われているということです。

管理ページアクセス制限

ログインしてないIPアドレスから、WordPressの管理画面へアクセスできないように設定します。管理画面へ侵入を防いでくれます。侵入を試みようとすると404 Not Foundページを表示します。

ただ、この設定ですが、旅行や外出中先のWi-Fiなどを使っても、404 Not Foundが出るので、外出中にWordPressにログインしたい場合は、OFFにする必要があるので、使い分けが大切です。出かける前には忘れずに。

ログインページ変更

WordPressのログインページを別のURLに変更することが出来ます。WordPressの通常ログインページURLは「http://ドメイン/wp-login.php」です。このログインページのURLを変更することが可能です。

なので変更したら、このログインページのURLは忘れないようにブックマークしておきましょう。

画像認証

 

ログイン画面に画像認証を設置できます。
実際にどんな画面になるかというと・・・・・・・・

 

通常のログイン画面に画像に表示された文字を入力しないとログインできません。この文字ですが、「ひらがな」と「英語」の2パターンが使用できます。画像認証まで追加すると、格段に不正アクセスされづらくなるので設定しておきましょう。

ログイン詳細エラーメッセージの無効化

WordPressは物凄く親切なので、ログインに失敗した時にユーザー名が間違っているのか、パスワードが間違っているのかを教えてくれます。

これって相手に「どちらか合っているよ」と教えているようなものです。1つが分かってしまうと、突破される確率が一気に上がってしまうので、ログイン詳細エラーメッセージの無効化を「ON」にしておきましょう。

この設定を「ON」にしておくと、「エラー:入力内容を確認の上、もう一度送信してください。」と、表示されるだけなので、突破されにくくなります。

ログインロック

ログインロックはデフォルト(初期設定)では、5秒間に3回ログイン失敗すると1分間ロックされるようになっています。

ブルートフォースアタックに非常に有効な対策です。繰り返し何度も攻撃してきても途中でロックされるので、その間は無視することが出来ます。この設定は非常に効果が高いので、必ず「ON」にしておきましょう。

ログインアラート

ログインした時にメールでお知らせしてくれます。自分がログインした時にもメールでお知らせしてくれるのですが、不正ログインもお知らせしてくれるので、設定は「ON」にしておきましょう。

フェールワンス

この設定をしておくと初回は必ずログイン失敗します。つまり、正しいログインIDとパスワードを入力しても必ず失敗するようになっています。要するに、偽装出来るということですね。

ただ、僕みたいに忘れっぽい性格だと、正しいIDとパスワードを入力したのに、何で入れないの?となってしまうので、僕はこのフェールワンスの設定は「OFF」にしています。

XMLRPC防御(ピンバック無効化)

ピンバックによる不正な攻撃を防げます。ピンバックとは、ブログにリンクが貼られた事を教えてくれる機能です。

何でピンバックのセキュリティが必要かというと、DDos攻撃というのがあって、ハッカーが無数のサイトからある特定のサイトに大量のアクセスを流して、サーバに負担をかける方法があるのです。今回の設定方法ではこのピンバック無効化は「ON」にします。

更新通知

この設定は、WordPressの更新やプラグインの更新をメールでお知らせしてくれる機能です。セキュリティと言えばパスワードと考える人も多いですが、実はこのWordPressの更新や、プラグインの更新をサボっていると、そこを突かれて不正アクセスされる事があります。

なので、この更新通知は「ON」に設定しておき、更新通知が来ましたら、こまめに更新しておきましょう。

WAFチューニングサポート

ここのWAFというのは、Webサイト上のアプリケーションに特化したファイアウォールの事です。さくらサーバやロリポップを使用している場合はこのWAFを使用していますので、WAFの誤認対策をする場合には「ON」にしておいた方がいいですが、僕はWAFを使ってないのでOFFにしてます。

まとめ

今回はセキュリティ強化のプラグインを紹介しました。僕もセキュリティにはちょっと認識が甘かったところもあったのですが、不正アクセスを食らって被害が出たことによって、

「やっぱりこれはしっかりやらないかんでしょ!」

ということになり、セキュリティ強化のプラグインを導入しました。ただ、セキュリティってプラグインを入れたから安心というわけではなく、常日頃からセキュリティには意識をしっかり持っておくことが大切です。

いつ自分が被害にあうとは限らないので、しっかり対策をしておきましょう。