WordPress必須プラグイン!SiteGuardですべき最低限の設定

ブログ制作

こんにちは、タマです。

ワードプレスを使うにあたり、セキュリティ対応も忘れてはなりません。

例えば、ログインURLですが、初期状態だと、

https://hogehoge.com/wp-login

と指定してやれば、ログイン画面にアクセス出来てしまいます。

そこからユーザ名を推測して、パスワードを総当たりで試していけばいつかは侵入されてしまいます。

ここで、ユーザ名をwebmasterだとか、administratorなどにしてしまっているとより侵入される危険性が高まります。

侵入されたらアウトです。せっかくのブログの内容が消されたり、エロサイトに作り替えられたりする可能性があります。

今回は、そうならないために、プラグインを使った対応方法を紹介します。もちろん、100%防げるという保証はないですが、初期状態のダダ漏れのままよりはマシになります。

 

スポンサーリンク

泥棒は鍵のかかってない家を狙ってやってくる

前にあるセキュリティセミナーを受講した際、講師の先生が、「泥棒は鍵のかかってない家を狙ってやってくる」と解説していました。

つまり、WEBサイトにおいても、最低限の対策も取られていないサイト程狙われやすくなるということです。

裏を返せば、最低限の鍵をかけておけば、大体の泥棒はあきらめて次の家を探しに行くということになります。

その鍵をかけるツールが、Wordpressにおいては、SiteGuardプラグインとなります。

 

SiteGuardプラグインの概要と機能

SiteGuardプラグインは、国産プラグインで、最初から日本語対応がされています。

このプラグイン一つで、ログインURLの変更や、不正なアクセスの抑止、ログイン時の画像認証の設定など、セキュリティ対策において必要な機能を揃えられます。

もちろんこのブログでも利用しています。

 

設定画面ですが、以下のようになります。

 

日本語対応なので、ぞれぞれの機能の解説が分かりやすいですね。

管理ページアクセス制限

ログインしていない状態のIPアドレスから、管理画面のコンテンツにアクセスしようとした場合、ログイン画面にリダイレクトするのではなく、404エラーとなります。一度ログインをすると、接続端末のIPアドレスが24時間記録されて、その間、そのIPアドレスからはアクセスできるようになります。

ログインページ変更

次はログインページ変更です。初期状態では、/wp-loginですが、それを任意のアドレスに変更することが出来ます。

注意点として、そのアドレスを忘れてしまうと管理画面にアクセス出来なくなってしまうので、何処かにメモを取るか、ブックマークなどへ保管しておくのがよいでしょう。

画像認証

これは、ログイン画面にひらがなの画像を表示し、画像認証とするものです。

日本人以外には突破が難しいと思います。

ログイン詳細メッセージの無効化

ログイン失敗時に、「メールアドレスが無効です」「パスワードが違います」といった表示をしてしまうと、攻撃者にヒントを与えることになるので、そのメッセージを「エラー」という形に一本化し、ログイン失敗の原因を分かり難くします。

ログインロック

同じIPアドレスから何度もログインの失敗があった場合、攻撃とみなし、一定時間そのIPアドレスからのログインをロックするものです。

ログインアラート

ログインがあった際に、登録されているメ―ルアドレスに通知がされる機能です。

フェールワンス

正常なログイン名とパスワードであっても、一度は失敗した扱いにし、二度目の成功で、正常にログイン出来るようになる機能です。失敗したフリをすれば、一度限りの総当たり攻撃は必ず失敗する形になります。ただ、日々のログインが面倒になるので、僕はOffにしています。

XMLRPC防御

プログラムなどを用いて外部から投稿するための機能である、XMLRPCを停止します。

変更通知

プラグインなどの更新情報があった場合、登録されているメールアドレスに通知がされます。それにより、常にプラグインを最新の情報に保つことが出来ます。

WAFチューニングサポート

このプラグインの提供元である、JP-SOURCE社のWAF製品(WebApplicationFirewall)に関する設定となります。僕は導入していないので、関係ない項目となります。

まとめ

Siteguardで対応できるのは以上でしたが、さらに盤石にするために、管理画面にBasic認証を掛けるという方法もあります。

セキュリティ対応はすればする程強化されていきますが、その反面、自分がログインする際に手間が掛かってしまうというデメリットもありますので、バランスを考えて対応するのがよいでしょう。

 

コメント