山田どうそんです。
WordPressが不正ログインで乗っ取られてしまうと今まで作ってきたサイトが全て水の泡になってしまいます。
そんなことに極力ならないようにするためにも、ログイン画面のセキュリティは少しでも強化しておきたいところです。
プラグインの特徴
- ログインページのURLが変更される
- ログインページにひらがなの画像認証を追加できる
- 管理ページにアクセス制限をかけることができる
- ログイン失敗を繰り返す接続元を一定期間ロックできる
- ログインがあったことをメールで通知
プラグインのダウンロード
プラグインのダウンロードは下記のリンク先からもできるしWordPress内で「SiteGuard WP Plugin」と検索してもダウンロードが可能です。現在のバージョンは「1.2.5」。
[appbox wordpress siteguard]プラグインの使い方
ログインページURLの変更
このプラグインはセキュリティソフトの中でも簡単に設置して利用できるのが魅力です。
このプラグインを有効化すると、ログインページのURLが変更されるので、そちらは理解しておいてください。
このように表示されるので、新しいログインページをブックマークしておきましょう。
ログイン画面のひらがな画像認証
変更されたログインページをクリックすると下図のように画像認証つきのログインページに変更されています。
ひらがななので、入力も簡単です。
管理ページアクセス制限
「メインメニュー」の「SiteGuard」>「管理ページアクセス制限」をクリックすると、下図のようなページが表示されます。
デフォルトでは、「OFF」になっているので、利用したい場合は、「ON」に変更する必要があります。
この機能は、管理ページ(/wp-admin/以降)に対する攻撃から防御できる機能で、ログインされていない接続元IPアドレスに対して、管理ページのアクセスを404(NOT FOUND)で返す設定です。
ログインすると、接続元IPアドレスアドレスが記録されて、そのページのアクセスは許可されます。
24時間以上ログインが行われていない接続元IPアドレスは、順次削除されていくことになります。
この機能を除外するURLを除外パスに設定が可能です。
ログイン詳細メッセージの無効化
これは、ユーザー名の存在を調査する攻撃を受けにくくするためのセキュリティ機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても、「エラー:入力内容を確認の上、もう一度送信してください」となります。
これの設定を「OFF」にすると、具体的に下図のような「エラー:パスワードを入力してください」という文言が出てしまいます。
ログインロック
これは、「ブルートフォース攻撃」「リスト攻撃」などの不正ログインを試みる攻撃を受けにくくするための機能です。
特に機械的な攻撃を防御できるのが特徴です。
ログインの失敗が、指定期間中に指定回数に達すると、接続元IPアドレスを指定時間ブロックします。
下図のように、3種類から選択できます。
ログインアラート
不正ログインがあった場合などにすぐ気づけるように、ログインされた時にメールでアラートしてくれる設定です。
フェールワンス
リスト攻撃を受けにくくするための機能で、正しいログイン情報を入力しても、一回だけログインに失敗する機能です。
5秒以降、60秒以内にあらためて、正しいログイン情報を入力するとログインに成功できます。
デフォルトでは「OFF」になっているので、利用したい場合は「ON」にしてください。
ピンバック無効化
その名の通り、ピンバックを無効化できる機能です。
更新通知
これを「ON」にしておくと、WordPressそのものの更新やプラグインの更新、テーマの更新をメールで知らせてくれます。
セキュリティをしっかりと保つには、常に最新のバージョンにしておくことが重要です。更新確認は24時間毎に実行されます。
WAFチューニングサポート
WebサーバにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
わからない人はそのまま「OFF」の状態でいいです。
まとめ
ボタン一つで簡単にセキュリティ面を強化できるおすすめのプラグインです。
ある程度のサイト規模になってきたら、必ず入れておきたいプラグインの一つですね。
