【国産】WordPressのセキュリティ対策はSiteGuard WP Pluginがおすすめ

【国産】SiteGuard WP PluginでWordPressを攻撃から守る

WordPressは利用者が多く情報も得やすい代わりに攻撃してくる人も多いよ。って事で、2016年末にWordPressのログイン履歴を管理するプラグインの紹介をしました。

この後、ログインした事を通知するログインアラートや、実際に不正ログインからWordPressを守るためのプラグインを紹介していくつもりだったのですが、よくよく考えてみるとこれら全ての事を1つでできるプラグインがあったなぁと。

それが『SiteGuard WP Plugin

さらにこのプラグインは株式会社JP-Secureさんが開発されているので、今後のメンテナンスにおいても信頼ができます。

WordPressのセキュリティプラグインは何がいいかな?と迷った時は、とりあえずSiteGuard WP Pluginを利用すればいいでしょう。

SiteGuard WP Pluginはインストールして有効化すると、自動的にログインページのURLが変更されるのでご注意下さい。
スポンサーリンク

SiteGuard WP Pluginの特長

  • 安心の日本製
  • シンプルな管理画面と操作
  • 様々なセキュリティ対策
  • 各種通知機能

機能一覧

ログイン履歴 ログイン履歴の閲覧・管理
管理ページアクセス制限 管理ディレクトリ(/wp-admin/)への不正アクセス防止
ログインページ変更 ログインページURLを変更
画像認証 ログインページ、コメント欄に画像認証を追加(ひらがな・英数字)
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージを単一のメッセージに変更
ログインロック ログイン失敗を繰り返す接続元を一定期間ロック
ログインアラート ログインした場合にメールで通知
フェールワンス 正しい入力内容でもログインを一回失敗
XMLRPC防御 XMLRPCの不正防止
更新通知 WordPress、プラグイン、テーマの更新をメールで通知
WAFチューニングサポート WAF (SiteGuard Lite)の除外リストを作成

インストールと有効化

プラグインを利用する為に、まずはSiteGuard WP Pluginのインストールと有効化を行いましょう。

インストールと有効化の手順が分からない方は以下のページを参考にして下さい。

WordPress(ワードプレス)プラグインのインストールと有効化

2016.11.16
SiteGuard WP Pluginはインストールして有効化すると、自動的にログインページのURLが変更されるのでご注意下さい。

SiteGuard WP Pluginの有効化が終わると管理画面上部にメッセージが表示されます。
管理画面上部のメッセージ

同時に、WordPressに設定しているメールアドレス宛にも新しいログインURLを記載したメールが届くので確認をしておきます。必要であればブックマークをしてもいいでしょう。

設定と使い方

プラグインを有効化すると、WordPress管理画面のメニューに「SiteGuard」項目が追加されるのでクリックしてダッシュボードへいきます。
SiteGuardをクリック

SiteGuard WP Pluginのダッシュボード画面です。
SiteGuard WP Pluginのダッシュボード画面

ダッシュボードでは設定状況のON/OFFが一目で分かるようになっており、各設定を変更するにはそれぞれの項目をクリックして設定していきます。(画像は有効化直後のデフォルトの状態)

管理ページアクセス制限

デフォルトではOFFになっています。
管理ページアクセス制限

管理ページアクセス制限をONにすることで、ログインが行われていない接続元IPアドレスがWordPressの管理ページ(/wp-admin/以降)に対してアクセスしてきた場合に404エラーを返すようになります。

一度ログインが成功したIPアドレスはアクセスが許可されるように記録されます。

ただし、24時間以上ログインが行われない接続元IPアドレスは順次削除されていきます。

アクセス制限を除外したいページがある場合には【除外パス】を指定することで、該当ページにアクセス制限をかけないように設定ができます。

この機能を使用する場合の注意点として、mod_rewriteがサーバーにロードされている必要があります。

僕が利用しているエックスサーバーでは、mod_rewriteはインストールされているため問題なく使用することができます。

エックスサーバー以外の方が管理ページアクセス制限を使用する場合は、ご自分が利用されているレンタルサーバーにmod_rewriteが利用できるか確認をして下さい。

もう一つの注意点として、CloudFlareを利用している等でIPアドレスが毎回変わってしまう方は、例え自分のアクセスであったとしても制限をかけられてしまう可能性があります。

このような場合は管理ページアクセス制限機能を利用しない方がいいでしょう。

ログインページ変更

デフォルトではONになっています。
ログインページ変更

SiteGuard WP Plugin有効化時に変更されたログインページURLが入力されています。

WordPressのログインページURLを自分の好みの文字列に変更されたい場合はこちらから設定します。

画像認証

デフォルトではONになっています。
画像認証

画像認証を使用するページ指定にて、ログインページ・コメントページ・パスワード確認ページ・ユーザー登録ページがそれぞれ設定できます。

認証方式として【ひらがな】と【英数字】が選択できますが、攻撃元は主に海外が多いことから、使用する場合は【ひらがな】を設定することをおすすめします。

「ログインページにひらがなの画像認証を使用した例」
ログインページにひらがなの画像認証を使用した例

ログイン詳細エラーメッセージの無効化

デフォルトではONになっています。
ログイン詳細エラーメッセージの無効化

ユーザー名・パスワード・画像認証のどれを間違えてもエラーメッセージがすべて同じ内容になります。

少しでも特定を防ぐためにONに設定しておく方がいいでしょう。

ログインロック

デフォルトではONになっています。
ログインロック

ログインの失敗を、指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックすることができます。

攻撃される場合は手動ではなく、機械的に自動で攻撃される場合が多いので設定しておいた方がいいでしょう。

僕は30秒間に3回失敗すると5分間ブロックするように設定しています。

ログインアラート

デフォルトではONになっています。
ログインアラート

WordPressにログインがあった場合にメールで通知してくれるので、不正なログインに気づきやすくなります。

自分自身のログインもメールで通知されるため、邪魔に感じるようであればOFFでもいいと思います。

メールのタイトル・本文・受信者をそれぞれ変更できます。

フェールワンス

デフォルトではOFFになっています。
フェールワンス

こちらの機能をONにすると、正しいログイン情報を入力しても必ず1回だけログインが失敗するようになります。

その後5秒から60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

ONにすることによりセキュリティがかなり強固になりますが、ログイン操作も面倒になってしまうのでお好みで設定して下さい。

XMLRPC防御

デフォルトではONになっています。
XMLRPC防御

ピンバック無効化とXMLRPC全体を無効化するか選択ができます。(ピンバックとはサイトにリンクが張られたことを通知する機能です。)

ピンバックを無効化する他プラグインを利用していたり、XMLRPCを使用したプラグインやアプリを利用している場合は競合や不具合で支障をきたす恐れがあるのでOFFにします。

更新通知

デフォルトではONになっています。
更新通知

WordPress・プラグイン・テーマの更新がある場合は、WordPress管理者にメールで通知してくれるようになります。

これらを常に最新の状態に保っておくことはセキュリティの向上につながります。

プラグインとテーマに関しては、すべてに対してかアクティブなもののみにするか変更が可能です。

更新の確認は24時間毎に行われます。

WAFチューニングサポート

デフォルトではOFFになっています。
WAFチューニングサポート

WebサーバーにJP-Secure製のWAF(SiteGuard Lite)が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。

詳しくはJP-SecureのWAFチューニングサポートをご覧下さい。

ログイン履歴

ダッシュボードの一番下にある【ログイン履歴】から、これまでのログイン履歴が参照できます。
ログイン履歴

履歴は最大で10,000件記録され、10,000件を超えると古いものから削除されます。
ログイン履歴参照画面

以上でSiteGuard WP Pluginの設定と使い方の解説は終わりです。

SiteGuard WP Pluginでよくあるトラブル

以下はSiteGuard WP Pluginを利用していて、よくあるトラブル例と解決策です。

ログインページURLを忘れて(分からなくなって)しまった

ついついブックマークのし忘れでログインページURLを忘れてしまった。または分からなくなってしまった場合の解決策。

FTPソフトなどでWordPressインストールディレクトリにある.htaccessファイルを開いて、以下のxxxに該当する部分を探してください。

#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
RewriteEngine on
RewriteBase /
RewriteRule ^wp-signup\.php 404-siteguard [L]
RewriteRule ^wp-activate\.php 404-siteguard [L]
RewriteRule ^xxxxxx(.*)$ wp-login.php$1 [L]
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_END

このxxxxxxをサイトURLに付け加えたアドレス【サイトURL/xxxxxx】がログインページになります。

正しいURLなのにWordPressにログインできない

正しいログインページURLを入力しているにも関わらず、何らかの事情で404エラーなどでログインページにアクセスできなくなってしまった場合は、次の手順を試してみて下さい。

.htaccessファイルからSiteGuard WP Pluginの記述を削除する

.htaccessファイルを編集する際は、必ずバックアップをとって下さい。

FTPソフトなどでWordPressインストールディレクトリにある.htaccessファイルをローカルに保存します。

ローカル側の.htaccessファイルを開きSiteGuard WP Pluginに関する以下の記述を削除します。

 #SITEGUARD_PLUGIN_SETTINGS_START から
#SITEGUARD_PLUGIN_SETTINGS_END まで

変更を加えた.htaccessファイルをサーバー側へ戻します。

ここまでの手順で管理ページアクセス制限・ログインページ変更の機能が無効になります。

この時点で、【サイトURL/wp-login.php】に数回アクセスしてみます。

無事にアクセスできればOKです。

もしこれでもアクセスできない場合は次の手順を試します。

サーバーからSiteGuard WP Pluginを削除する

管理画面からはプラグインを削除する事ができないので、FTPソフトなどを利用して「/wp-content/plugins/」にあるsiteguardディレクトリを削除します。

【サイトURL/wp-login.php】にアクセスができればOKです。

まとめ

いかがでしたでしょうか。

説明だけ見ると長く見えますが、設定はとてもシンプルで簡単です。

セキュリティプラグインは海外製のものが多く、中にはデータベースのバックアップまで行ってくれるプラグインもありますが、バックアップ関係は前回ご紹介した『BackWPup』で行っているので問題ありません。

また、海外製のプラグインでトラブってしまうと解決するのに苦労したりします。

今回のSiteGuard WP Pluginはそういった意味でも安心の国産プラグインなので非常におすすめです。

BackWPupでWordPressを丸ごとバックアップ

2017.01.04
スポンサーリンク
【国産】SiteGuard WP PluginでWordPressを攻撃から守る

コメントを残す

メールアドレスが公開されることはありません。