高機能セキュリティSiteGuard WP Pluginの設定方法

高機能セキュリティ,設定方法,日本語?, プラグイン

SiteGuard WP Pluginはこれ一つインストールするだけで様々な外部攻撃からWordPressを守ることができるセキュリティプラグインです。
日本企業が開発者なのでマニュアル含めすべて日本語表記で利用難易度が非常に低く初心者~玄人まで幅広いユーザーが使用しています。

SiteGuard WP Pluginの特徴

・ブルートフォースアタック、パスワードリスト攻撃、ログインを何度も試すユーザー(IPアドレス)に対してロックを掛ける。
・ログイン画面でひらがなの画像認証機能で、ロボット・海外のハッカーに対して絶大な効果を発揮する。
・WAF(Web Application Firewall)を提供しているネットセキュリティ大手のJP-Secureが開発しているいるので、定期的なアップデートで進化するハッカーへの対抗も期待できる。
・大量に投稿されるコメントスパムを受けにくくする。

注意点
インストールすると自動でログインURLが変更されます。
すぐにブックマークするor好みのログインURLに変更できるので、変更後ブックマーク
※【ログインページ変更】の項目でログインURL変更方法案内します。
きたきつね
きたきつね
 セキュリティ関係のプラグインは英語のみが多い
全日本語表記でクオリティも高いから筆者もこのサイトでつかってるぞ

SiteGuard WP Plugin インストール方法

①、②をクリック
③『SiteGuard WP Plugin』を入力
④『今すぐインストール』をクリック


インストールが完了後『今すぐインストール』があった場所に『有効化』が表示されるのでクリックすると、画面上部に↓が表示されます。
SiteGuard WP Plugin使用方法

SiteGuard WP Plugin設定方法

各項目ごとにおすすめの設定方法を案内します。
基本的には好みなので自分のやりやすいやり方でカスタマイズするで大丈夫です。
ON/OFFは項目をクリックすれば切り替える画面に移ります。
※『ON』の場合、チェックリストが緑色です
 多くの設定はデフォルトでONになっています
SiteGuard WP Pluginのアクセス方法は赤枠クリックで表示されます。
セキュリティ プラグイン評判

管理ページアクセス制限

設定『ON』がおすすめ

ログインをしていない接続元IPアドレスに対して、管理ページのアクセスを『404エラー』で返します。
ログインせずにファイルに直接アクセスして行う攻撃に対しても防御することができます。
ログインができると接続元IPアドレスが記録され、管理画面のアクセスができます。(通常のログイン)
24時間以上ログインが行われない接続元IPアドレスは順次削除されます。
※『除外パス』は特に指定がなければデフォルトのままで問題ありません

ログインページ変更

設定『ON』がおすすめ

初期状態のWordPressログイン画面のURLはhttp://ドメイン/wp-loginl.pspで皆共通なのでハッカーは簡単にログイン画面にたどり着くことができるので、ログイン画面URLそのものを変更してしまい、不正ログイン手前で予防線を張って防御します。

WordPressログインURL変更方法

ログインページ変更機能でhttp://ドメイン/login_12345(5ケタ乱数)で形式が決まっているので、更に複雑な変更をする場合は赤枠内を変更しましょう。
※変更後はブックマークを忘れないように!!

ぶー助
ぶー助

これで不正ログイン対策は完璧だぶ

きたきつね
きたきつね

そうでもないんだな、、、
ほかにもログインする方法はあるんだぜ

残念ながらログイン画面はURLがわからなくてもログインする方法があります。
①http://ドメイン/wp-adminでアクセスすると自動でログイン画面リダイレクト
②XML-RPC(xmlrpc.pgp)経由のログイン

【対策①】先ほど設定した『管理ページアクセス制限』をONにすることで対策できます。
【対策②】読み進めたらXML-RPC無効化設定についてあるので参考にしてください。

画像認証

設定『ON』がおすすめ

設定項目はすべてデフォルトの『ひらがな』をオススメします。
ロボット・ひらがながわからない外人に対して絶大な効果を期待できます。

ログイン画面 ひらがな認証

ログイン画面にはひらがな認証が加わるので毎度手間が増えますが、自衛の為には必要です。
さらにコメントページにも『ひらがな』を設定することで、ロボットによるスパムコメントを防止することができます。

ログイン詳細エラーメッセージの無効化

設定『ON』がおすすめ

設定前

ユーザー名NG:無効なユーザー名です。
パスワードNG:ユーザー名○○○○のパスワードが間違っています。
画像認証NG:画像認証が間違っています。

設定後

すべてのNGに対して:入力内容を確認の上、もう一度送信してください。

ご丁寧に何を誤って、何を合っているかを伝えることになるので、ID・PW当てクイズのヒントをあげるようなものです。
セキュリティ強固のためにはログイン失敗理由は隠したほうが懸命です。
※ID・PW管理をあやふやにしてしまうと自分がログインできなくなるので注意しましょう

ログインロック

設定『ON』がおすすめ

ブルートフォースアタックは1秒間に何十回とログインを試して、不正ログインやサーバーパンクをさせてきます。
設定項目はデフォルトのままで問題ないですが、ログイン履歴を確認してブルートフォースアタックがたくさんされているようであればより強いセキュリティに変更しましょう。

ポイント

 

ログインロックするならブルートフォースアタック対策完璧!
なんてことはなく、3回ログインを試したらユーザー(IPアドレス)を変更してログインを試したりと、ハッカーは常に工夫・進化を続けるので何をしたからセキュリティ対策が完璧!なんてことはありません。

ログインアラート

設定『ON』がおすすめ

不正ログインされた時の注意勧告として使用します。
ただしすでに不正ログインが成功している状態からのメールなので手遅れの場合が多いので『OFF』でもいいかもしれません。
もし不正ログインでメールが来た際には改竄されていないか隅々までチェックが必要ですね。

カスタマイズもできますがデフォルトのままで十分です。

フェールワンス

設定『OFF』がおすすめ

ハッカーからすると正しいID・PWを入れても失敗表示がでるので違うと認識させることができます。5秒後~60秒以内に2回目のログインを成功させるとようやくログインができます。

たしかに強力な不正ログイン対策ではありますが、筆者は毎日のようにWordPressにログインするのでこの機能は煩わしくてストレスになるので『OFF』にしています。

より強力にセキュリティを!という方は『ON』にしましょう。

XMLRPC防御

設定:XMLRPC無効化『ON』がおすすめ

ピンバックはXMLRPC内のプログラムなので『ピンバックだけ』を無効化するか、『XMLRPCすべて』を無効化するかを選択できます。
※XMLRPC無効化『ON』にした場合は自動的にピンバック無効化も機能します

【ピンバック無効化】

 

ピンバックとはWordPress同士のサイトが前提で、AサイトがBサイトのリンクを貼ったときにBサイトへリンクを貼ったので『承認してください』とAサイトが通知を送ることです。
Bサイトは承認するとコメント欄にAサイトのリンクが表示され相互でSEO効果を発揮できますという機能。

 

ただしBサイトとしては承認しても利益はなくコメント欄が多少荒れるだけで(損得で考えた場合)、承認されなくてもAサイトはBサイトのリンクは貼れます。

 

このピンバックを使って大量に『承認してください』と通知をしてサーバーをパンクさせようとするのがDDos攻撃とういもので、それを防ぐためにピンバックは無効化がオススメです。

【XMLRPC無効化】

 

XMLRPCとはphpというプログラムを使って、管理画面以外からの記事投稿ができる機能。主にスマホアプリからの記事投稿がメインです。

 

ブルートフォースアタックの対象になりやすく、たとえ不正ログインが成功しなくても大量のアクセスがあるだけで負荷がかかりサイト遅延などの影響がでてきます。

 

筆者はXMLRPC無効化『ON』にしていますが、プラグインとの関連性があり無効化することによって不具合が発生しているとの報告もあるため一概に無効化をオススメできないので、無効化をしてなにか影響があったらピンバックだけ『ON』に戻すでよいかと思います。

※スマホアプリから記事投稿したい方は『OFF』

更新通知

設定は好みによる

更新がある際はWordPressに登録しているアドレスに通知を送ってくれます。
筆者の場合、メールはあまり開かないですし、毎日のようにWordPressを開いているので更新が必要なものはすぐわかるので必要ないと判断しました。
完全に好みでわかれるサービスです。


WAFチューニングサポート

設定『OFF』がおすすめ

利用しているレンタルサーバー会社でWAF(SiteGuard Lite)が導入している場合に、誤検知を防ぐためにルールを作成します。

使用しているプラグインによっては機能自体をブロックしてしまう場合があり、セキュリティは高まりますが必須と言えるサービスではありません。

まとめ

WordPressへの攻撃方法は多種多様な上に、工夫を凝らし、進化して新たな脆弱性を見つけてきます。
それに対応する為にもアップデートはサボらないようにしましょう。

実はプラグインに頼らなくてもセキュリティ対策は可能ですがハードルが高いですし、根本となるシステムにコードを加える、変えるの作業がある以上自らバグを起こして自爆してしまう可能性もあります。

SiteGuard WP Pluginで多くのセキュリティ対策を担うことができるので大変便利です。

ぶー助
ぶー助

ぼくも毎月アップデートするぶ

きたきつね
きたきつね

おう、がんばれよ

最後まで読んでいただきありがとうございました!
記事が少しでも良かった!と思えたらシェアお願いします!

コメント

タイトルとURLをコピーしました