SiteGuard WP Pluginの機能と使い方まとめ

こんにちは!ZIGです。

ここではワードプレスのプラグイン「SiteGuard WP Plugin」の使い方についてまとめます。

ワードプレスの不正ログイン対策に有効なプラグインなので、セキュリティ対策をしっかりしておきたい!という方は参考にどうぞ。

SiteGuard WP Pluginで出来る事

SiteGuard WP PluginはワードプレスのログインページURLを変更したり、ログインページに画像認証機能を追加する・ログインに失敗したIPをロックするといった設定を追加することが出来るプラグインです。

デフォルト状態よりもワードプレスのセキュリティレベルを上げることが出来るので、不正ログインやブルートフォースアタックが心配!という方は導入しておくと良いプラグインですね。

 

というわけでSiteGuard WP Pluginのインストール手順と各種設定について以下にまとめていきます。

 

SiteGuard WP Pluginのインストール

SiteGuard WP Pluginのインストールはワードプレスの管理画面「プラグイン」⇒「新規追加」を選択。

「SiteGuard WP Plugin」と検索すれば見つかります。

SiteGuard WP Pluginインストール

見つけたら「今すぐインストール」⇒「有効化」ですね。

 

インストールするとログインURLが変更された旨の表示が管理画面に表示されます。

SiteGuard WP Plugin

この時点でログインURLがデフォルトの「https://ドメイン名/wp-login.php」から変更になっているので、ブックマークしておくと良いでしょう。

 

 

SiteGuard WP Pluginの設定

SiteGuard WP Pluginを有効化すると、管理画面のメニューに「SiteGuard」が追加されます。

SiteGuard WP Pluginの設定

設定を編集したい場合はこちらをクリック。

 

 

するとSiteGuard WP Pluginの管理画面が表示されます。

SiteGuard WP Plugin設定画面

設定・確認できる項目は以下の通り。

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログインページ詳細エラーメッセージの無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート
  • 詳細設定
  • ログイン履歴
ひとつずつ解説して行きます。

 

管理ページへのアクセス制限

管理ページアクセス制限

管理ページ(管理画面)へのアクセスを制限する機能で、デフォルトでオンになっています。

 

SiteGuard WP PluginをインストールするとログインページURLが変更されるわけですが、実はこの状態でも「https://ドメイン名/wp-login/」にアクセスすると変更したログインページURLへリダイレクトされてしまい、ログインページURLがバレてしまいます。

これではログインページURLを変更した意味がありませんよね(汗

その対策として、「https://ドメイン名/wp-login/」にアクセスした際に404エラーを返すように設定できるのがこの機能。

なのでオンのままにしておくと良いです。

 

 

ログインページの変更

ログインページの変更

ログインページのURLを変更する事が出来る設定で、デフォルトでオンになっています。

 

通常、ワードプレスのログインURLは「https://ドメイン名/wp-login.php/」ですが、SiteGuard WP Pluginを有効化すると「https://ドメイン名/login_12345/」といったURLに変更になります。

末尾の5桁の数字はランダムに設定されるのですが、この部分は設定画面で更に難解にも設定できるので、ここを設定しておけばそもそもログインページに辿りつけない状態にできるってわけですね。

 

 

画像認証

画像認証

ログインページ・コメントページ・パスワード確認ページ・ユーザー登録ページに画像認証を追加する設定で、デフォルトでオンになっていいます。

 

ログインページだけではなくコメントフォームにも画像認証を追加できるので、不正ログインだけではなくスパムコメントにも有効。

機械的な不正ログイン(ブルートフォースアタック)やスパムコメントは海外方のものがほとんどなので、画像認証をひらがなにしておくだけでもある程度安全性は上がります。

なので、そのままオンにしておくと良いでしょう。

 

 

ログイン詳細エラーメッセージの無効化

ログイン詳細メッセージの無効化

ログインを失敗した際のエラーメッセージをすべて同じにする設定で、デフォルトでオンになっています。

 

通常、ワードプレスはログインに失敗すると「ユーザー名が違います」「パスワードが違います」といった表示が出ます。これは逆に言えば「ユーザー名(またはパスワード)は合ってるよ」と言ってるようなもので、ハッキリ言ってリスクもあります。

それを防ぐため、エラーメッセージをすべて同一のものに変更してくれるわけです。

なのでオンにしておくと良いでしょう。

 

 

ログインロック

ログインロック

連続してログインを失敗した際に該当IPをログインできなくする機能で、デフォルトでオンになっています。

 

これは機械的な不正ログイン(ブルートフォースアタック)に対して有効な機能なので、オンにしておくと良いですね。5秒の間に複数回ログインを失敗するなんてことは通常はあり得ないことなので(笑

 

 

ログインアラート

ログインアラート

ワードプレスにログインした際にワードプレスに設定されているメールアドレスに通知を送る機能で、デフォルトでオンになっています。

 

自分がログインしていないのにメールが届いたら不正ログインを疑うことができるので、オンにしておくのが基本。いちいちログインのたびにメールが届くのがちょっと煩わしい気もしますが、安全を考えればそこは目をつむるといった感じですね。

 

 

フェールワンス

フェールワンス

デフォルトではオフになっているのですが、ちょっとめんどくさい(?)機能です。

 

フェールワンスがオンになっていると、正しいログイン情報を入力しても1回目は必ずログインエラーを表示します。

その後5秒以降、60秒以内に再度正しいログイン情報を入力するとログイン可能。要するに不正ログインしようとした人がいても、正しい情報を正しくない情報と誤認させる事ができるということですね。

なのでセキュリティを考えると非常に良い機能なのですが、自分自身がこの設定をわすれていると正しい情報を入力してるのにログインできないというイライラを味わう可能性がある機能です(笑

 

なので、頻繁にログインするようなブログではオフにしておいた方が煩わしさが少ないかもしれません。

もちろんオンにしておいた方が安全ですが、ここは人によって設定を変えると良いでしょう。

 

 

XMLRPC防御

XMLRPC防御

デフォルトでは「ピンバック無効化」がオンになっています。

 

ピンバックを使いたい方はオフにすると良いですが、ピンバックを悪用されることもあるので基本的にはオンの方が良いでしょう。

XMLRPCを無効化すると場合によって他のプラグインに影響が出る場合があるのでチェックは入れない方が無難。

 

 

更新通知

更新通知

ワードプレス、テーマ、プラグインが更新された場合に通知が届く機能で、デフォルトでオンになっています。

 

ワードプレスのセキュリティ対策としてワードプレスのバージョン、プラグインのバージョンを最新に保つことは非常に大事ですね。

ですが、しばらくログインしてないワードプレスだと更新されたことに気付かず、旧バージョンをずっと使っていた・・・なんて事も起こりがち。

古いバージョンのワードプレスやプラグインの脆弱性を狙われてサイトが改ざんされてしまう可能性もあるので、できる限りすみやかに最新版にしておくことが望ましいとされてます。

 

この設定がオンになっていれば更新が必要になった際にメールが届くので、速やかなバージョンアップが可能です。

 

 

WAFチューニングサポート

WAFチューニングサポート

デフォルトではオフになっている機能で、必要に応じてルールを追加します。

特に困らなければオフのままでOK。

 

使うとすればサーバーのWAF設定でワードプレスの正常な操作が攻撃と見なされ、正常に設定が出来ないような場合に使用します。

例えばアクセス解析を設置しようとしたら403エラーが出てしまう、プラグインやウィジェットの編集が正常に反映されないなどの場合はWAFが影響している可能性があるので、そんな場合はここで新たなルールを設定すればエラーを予防できるようになります。

 

 

詳細設定

詳細設定

IPアドレスの取得方法を変更出来ますが、特に理由が無い限りそのままでOK。

 

 

ログイン履歴

ログイン履歴

ログイン履歴が確認できます。

最大1万件保存され、1万件を超えると古いものから削除されていく形。

 

 

ZIG的おすすめの設定

個人的におすすめの設定は以下の通り。

  • 管理ページアクセス制限:ON
  • ログインページ変更:ONにしてURLをデフォルトから編集
  • 画像認証:すべてひらがなでON
  • ログインページ詳細エラーメッセージの無効化:ON
  • ログインロック:ON
  • ログインアラート:ON
  • フェールワンス:OFF
  • XMLRPC防御:ON(ピンバック無効化)
  • 更新通知:ON(ワードプレス更新・アクティブなテーマ・プラグイン)
  • WAFチューニングサポート:必要に応じて設定
  • 詳細設定:デフォルトのまま
フェールワンスについてはオフにしていますが、頻繁にはログインしないワードプレスの場合はオンにしている場合もあります。

頻繁にログインするワードプレスでオンにしているとイライラして仕方ないので(笑

 

まとめ

というわけでSiteGuard WP Pluginの機能と設定についてまとめました。

ログインURLを変更するだけでもある程度不正ログインを防ぐことが出来ますが、他にも様々な設定がSiteGuard WP Pluginひとつで出来るので便利なプラグインです。

ワードプレスのセキュリティ対策を全くしていない・・・という方は対策としてインストールしておくと良いですね。