WordPressは管理画面に不正にログインされてしまうと、サイトの改ざんや個人情報の漏洩など様々な被害を受ける可能性があります。
そんな不正アクセスを防ぐためのセキュリティ対策プラグインがSiteGuard WP Pluginになります。
SiteGuard WP Pluginをインストール
まずはプラグインをインストールします。
管理画面左のプラグイン → 新規追加からSiteGuard WP Pluginと入力するとプラグインが出てくるので、インストールしてそのまま有効化までします。
通常のログイン画面はこちらですが、
プラグインを有効化すると特に設定をしなくても、かな入力の画像認証が追加されます。
SiteGuard WP Pluginの設定方法
設定を始める前に
設定によってはこのURLが分からないとログイン出来なくなります。
もしログインページのURLが分からなくてログイン出来なくなった場合はこちらの記事を参照下さい。
【WordPress】SiteGuard WP PluginでURLを忘れてログインできない時の対処法
それでは進めていきます。
SiteGuard WP Pluginの設定は管理画面左のSiteGuard → ダッシュボードから一覧を見ることが出来ます。
設定する項目が決まっていればダッシュボード以下のメニューから直接設定変更可能です。
ダッシュボードを開くとこちらの画面が表示されます。
設定がONになっているものは緑のチェックが入っています。
それでは1つずつ解説していきます。
管理ページアクセス制限(初期設定OFF)
24時間以上ログインしてない接続元IPアドレスからのアクセスを遮断します。
つまり自分も24時間おきにログインし直す必要があります。
初期設定はOFFなので、ONにする場合は左上のONをクリックして左下の変更を保存をクリックすれば完了です。
こちらがONになった状態です。
この設定をONにする前の注意
ログインページ変更(初期設定ON)
ログインページは通常http(s)://サイトURL/wp-admin/からログインページに入れてしまうので、パスワードが分からなくても手当たり次第試される可能性もあります。
なのでログインページにはアクセス出来ないようにするのが理想です。
その為にはオプションの管理者ページからログインページへリダイレクトしないにチェックを入れればOKです。
ここにチェックを入れていれば、http(s)://サイトURL/wp-admin/からアクセスしてもこのようにログインページにはアクセス出来ません。
またプラグインを有効化した時点で設定されているURLはhttp(s)://サイトURL/login_数字5桁となっています。
変更出来るのはlogin_数字5桁の部分で、デフォルトのままでも大丈夫ですがこのプラグインを使っていると予想して5桁の数字を総当たりで試される可能性もあるので、出来れば文字列を変更することをおすすめします。
パスワードの生成にはこちらのサイトが便利です。
あとは左上がONになっているのを確認して、変更を保存をクリックして完了です。
注意ポイント
再度有効化したらこのように表示されます。
画像認証(初期設定ON)
ここでは先ほどログインページで表示されていた画像認証を設定する事ができます。
初期設定はONでひらがなとなっています。
英数字だと以下のようになりますが、英数字は世界中で使われているのでひらがなにしておいた方がいいでしょう。
ログイン詳細エラーメッセージの無効化(初期設定ON)
プラグインを有効化する前のデフォルトではログインに失敗した時は2種類のエラーメッセージが表示されます。
こちらはユーザー名が間違っていた場合。
そしてこちらはユーザー名は合っている場合。
これではユーザー名は合っていると教えているようなものです。
またプラグインを有効化してこの設定をOFF、それで画像認証を間違えるとこのようになります。
そこでSiteGuard WP Pluginを有効化するとこのように変わります。
これはどこを間違っても同じエラーメッセージになるので、エラーの原因を特定されないようになります。
初期設定ではONなのでこのままでいいかと思います。
ログインロック(初期設定ON)
これは何度もログイン失敗を繰り返す相手に対して一定時間ログインを出来なくなるようにします。
初期設定では5秒間で3回失敗したら1分間ログイン出来なくなります。
ちなみにログインロックされるとこのようなエラーメッセージが表示されます。
ログインアラート(初期設定ON)
これはログインする度にメールで通知してくれます。
通知されるメールは以下になります。
ログインしていないのに通知が来たら不正なログインを疑いましょう。
サブジェクト(タイトル)と本文を変更可能です。
フェールワンス(初期設定OFF)
タイトルからではイメージしにくいですが、正しいログイン情報を入力しても1回目はログイン失敗になり、5秒以降60秒以内にもう一度正しいログイン情報を入力するとログイン出来ます。
これを有効にするとどうなるかというと、もし第三者が正しいログイン情報を知っていて入力したとしても、1回目は失敗するのでそのログイン情報は間違っていると思わせることが出来ます。
XMLRPC防御(初期設定ON)
ピンバック
ピンバックとはWordPress同士で相互リンク出来る機能です。
例えば自分のサイトで外部サイトの記事を紹介したとき、その相手に対して自動で通知してくれます。
そして相手が承認すれば相手のコメント欄にこちらの記事が表示されるので、SEOに効果を期待出来ます。
通知を送る側は通知が承認されれば相手のコメント欄にリンクが貼られるので、アクセスアップが期待出来ます。
しかし紹介された側はコメント欄にリンクが表示されて見栄えが悪くなったり、特にメリットも無いので承認されない場合も多いようです。
さらにピンバックを利用したスパムなどもあるようなので、無効にしてしまっていいと思います。
XMLRPC
XMLRPCとはXMLを使用してWordPress外からWordPressをコントロールする機能です。
画像にも書いてありますが、これを使用したプラグインやアプリがある場合は使用出来なくなるので、よく分からなければこれは選択しない方がいいでしょう。
なのでここは初期設定のピンバック無効化でONのままでいいかと思います。
ユーザー名漏えい防御(初期設定OFF)
通常WordPressサイトはサイトURL/?author=数字でアクセスするとサイトURL/author/ユーザー名が表示されるので、ユーザー名が知られてしまいます。
例えば以下のようにサイトURL/?author=1でアクセスしてみます。
すると以下のように表示されます。
この赤枠がユーザー名になります。
そこでこの設定をONにすればこのユーザー名は表示されなくなります。
またREST APIを使用してユーザー名を取得することも可能ですが、無効化することにより動作しないプラグインもあるので、よく分からなければオプションにはチェックを入れなくていいでしょう。
キャッシュが残っていると設定をONにしてもユーザー名が表示される事があります。
更新通知(初期設定ON)
これは見たままですが、WordPressの更新、プラグインの更新、テーマの更新についての通知設定になります。
毎日WordPressを開いている人には不要かと思うので、OFFにしてもいいと思います。
WAFチューニングサポート(初期設定OFF)
レンタルサーバーによってはWAF(Web Application Firewall)の誤検知により403エラーが発生する事があり、その誤検知をしないように除外ルールを設定する項目です。
レンタルサーバー側でWAFが有効化されている場合は必要に応じて設定すればよく、よく分からなければOFFのままにしておきましょう。
設定したい場合はこちらの公式サイトを参考にして下さい。
詳細設定
これは書いてある通り通常はリモートアドレスを選択しておけばいいので、初期状態でOKです。
ログイン履歴
これはログインの履歴を確認出来るだけで特に設定することはありません。
結果やタイプでフィルターをかけることが出来ます。
不正ログインの疑いがある場合などはここで確認してみましょう。
まとめ:SiteGuard WP Pluginを使ってセキュリティは万全にしよう!
このプラグインをしっかり設定するだけでかなりセキュリティを強固なものにする事が出来ると思います。
この記事をぜひセキュリティ対策に役立てて下さい。