WordPressのプラグインのうち、セキュリティ対策を強化する目的のプラグインはいくつかあります。
その中でも「SiteGuard WP Plugin」は機能が充実しており、多くの利用者から高い評価を得ています。また、設定方法も簡単のため初心者の方でも容易に導入ができます。
このページでは、そんなSiteGuard WP Pluginがなぜ多くのサイトで必要とされているのか理由を述べつつ、機能一つ一つを丁寧に紹介していきます。後半では、私自身のサイトの設定内容を共有します。
導入を悩んでいる方・設定を悩んでいる方は是非ともこのページを読んで学んでください。
目次
WordPressプラグイン「SiteGuard WP Plugin」とは
「SiteGuard WP Plugin」は、WordPressのセキュリティを高めるためのプラグインです。
導入することで、管理画面への不正ログインを防いだり、検知したりしてくれます。セキュリティ面で非常に強いプラグインで、多くのWordPressサイトで利用されています。
プラグインの開発元は、JP-Secureという日本のセキュリティソフトウェア会社であり、安心して利用することができます。
公式ページ:https://ja.wordpress.org/plugins/siteguard/
SiteGuard WP Pluginが必要な理由
SiteGuard WP Pluginはプラグインのため、サイトごとに導入する・しないを選択することができます。しかし、私はどのWordPressサイトにおいても必須のプラグインとして考えています。
では、このSiteGuard WP Pluginはなぜ必要なのでしょうか。以下のような理由が挙げられます。
- WordPressのサイトは利用者が多いため狙われやすい
- 管理画面がインターネット上に存在していてリスクがある
WordPressのサイトは利用者が多いため狙われやすい
全世界のWebサイトのうち4割がWordPressを導入していると言われています。圧倒的に普及しているシステムだからこそ、穴を狙われやすいのも事実です。
膨大な数のサイトがWordPressによって構築されているため、狙われやすいのは当然で仕方のないことです。
したがって狙われてもなお、侵入を防ぐ対策が必要なのです。
管理画面がインターネット上に存在していてリスクがある
管理画面は、Webサイトの最も重要な部分です。その管理画面がWordPressの場合、インターネット上に公開されています。
万が一、ユーザー名やパスワードが盗まれてしまったら、外部からでもログインが可能となります。ログイン後、データの改ざんやサイト自体の削除が行われてしまうかもしれません。
したがって、外部から他人が管理画面にログインするのを防ぐ対策をしなければならず、その方法として、SiteGuard WP Pluginが有効です。
SiteGuard WP Pluginの機能の一覧
ここからは、SiteGuard WP Pluginが提供する機能を紹介します。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- ユーザー名漏えい防御
- 更新通知
- WAFチューニングサポート
- ログイン履歴
ご覧のように、多くの機能がこのプラグインに搭載されています。一つずつ紹介していきます。
管理ページアクセス制限
管理ページアクセス制限機能は、24時間以内にログインしていないIPアドレスに対して、管理画面へのアクセスを制限するという機能です。
制限というのは、wp-adminへのアクセスがトップページにリダイレクトされるという方法で、再度ログインページからログインすることを求められるます。
つまり、最後にログインしてから24時間以上経っているユーザーに対しては必ずログインを求めるというものです。
ログインページ変更
ログインページ変更は、WordPressの管理画面へのログインURLをデフォルトから他のURLに変更するという機能です。
通常、管理画面へのログインURLは、https://【サイトURL】/wp-login.php
となっていますが、このwp-login.php
のURL部分を任意のものに変更することができます。
詳しくは下記のページで紹介しているので、見てみてください。SiteGuard WP Pluginを使わずにfunctions.phpで設定する方法についても紹介しています。
画像認証
ログインページやユーザー登録ページ、パスワード確認ページなどにおいて、通常求められるユーザー名とパスワードとは別に、画像の認証を求める機能です。
ブルートフォース攻撃やリスト攻撃といった不正にログインを試みる攻撃に対抗するセキュリティ対策です。
画像認証の文字はひらがな・英数字から選択することが可能です。
ログイン詳細エラーメッセージの無効化
ログインを失敗した際、デフォルトでは2パターンのエラーメッセージが表示されます。
- 入力したユーザー名が存在する場合:「ユーザー名XXXXのパスワードが間違っています。」
- 入力したユーザー名が存在しない場合:「不明なユーザー名です。再確認するかメールアドレスによる指定をお試しください。」
つまり、入力したユーザー名がアカウント登録されているのかされていないのかがエラーメッセージによって判断できてしまいます。
この機能をONにすることで、ユーザーが存在する場合・しない場合ともに「エラー: 入力内容を確認の上、もう一度送信してください。」という同一のメッセージになります。
したがってエラーメッセージからではユーザーの有無が判断できなくなります。
ログインロック
何度もログインを試みる接続元からのログインをブロックする機能です。
以下の内容を設定できます。
- ログインロックの期間:1秒・5秒(デフォルト)・30秒
- ログインロックの回数:3回(デフォルト)・10回・100回
- ログインロックのロック時間:30秒・1分(デフォルト)・5分
ログインの失敗が、指定期間中に指定回数に達した接続元のIPアドレスをロック指定時間ブロックします。
ログインアラート
管理画面にログインをすると、ログインユーザーに、ログインがあった旨のメールが送信される機能です。
設定をONにすることで、自分が知らない場でログインされた際に気づける可能性が高くなります。
受信者を管理者のみに絞って送信することもできます。
フェールワンス
正しいログイン情報を入力してログインしようとしても1度だけログイン失敗した振る舞いをする機能です。
こちらも管理者のみに絞って有効化することができます。
XMLRPC防御
XML-RPCピンバックを利用したDDoS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御するという機能です。
ユーザー名漏えい防御
WordPressサイトはデフォルトで、/?author=数字
にアクセスすると、ユーザー名が現れます。
ユーザー名が分かるというのは、あとはパスワードさえ分かれば管理画面にログインできてしまうということになります。
この機能を有効化することで、ユーザー名を隠すことができます。
更新通知
WordPress・テーマ・プラグインの更新が必要になった場合に、メールで通知するという機能です。管理者にのみ通知をします。
バージョンを最新に保つことはセキュリティの基本であり、そのサポートをしてくれる機能です。
WAFチューニングサポート
WAF (SiteGuard Lite)の除外ルールを作成する機能です。
ログイン履歴
こちらの機能は、有効・無効の設定はしません。プラグインを有効化したすべてのサイトが履歴を閲覧できるようになります。
日時とともに、ログインステータス・ログイン名・IPアドレスが記録されます。想定と異なる不審なログインがあったかどうか確認できます。
このサイトのSiteGuard WP Pluginの・カスタマイズ設定内容
機能を紹介したところで、では「何を有効にすれば良いのか」「具体的にはどのような設定をすれば良いのか」疑問に思う方も多いかと思います。
なのでここでは私自身がどのように設定をしているのかを紹介します。あくまで一例ですので、参考程度にしていただければと思います。
- 管理ページアクセス制限:ON
- ログインページ変更:ON、URLをlogin_5桁から任意の文字列に変更
- 画像認証:ON、すべてひらがな
- ログイン詳細エラーメッセージの無効化:ON
- ログインロック:ON、期間5秒・回数3回・ロック時間1分
- XMLRPC防御:ON
- ユーザー名漏えい防御:ON、REST APIの無効化設定
- 更新通知:ON、有効テーマ、アクティブなテーマ、アクティブなプラグインのみ通知
- ログイン履歴
私が使用しているのは上記の機能です。ここで紹介していない機能は有効にせず使用していません。
SiteGuard WP Pluginのインストール・設定方法
下記の流れでSiteGuard WP Pluginを設定します。
- プラグイン検索から「SiteGuard WP Plugin」を検索する
- SiteGuard WP Pluginを有効化する
- メニュー「SiteGuard」から各項目の設定をする
1. プラグイン検索から「SiteGuard WP Plugin」を検索する
「プラグイン」>「新規追加」のページから「SiteGuard WP Plugin」と検索します。
すると、検索結果の中にSiteGuard WP Pluginが表示されるので、「今すぐインストール」ボタンを押してインストールします。
2. 「SiteGuard WP Plugin」を有効化する
続いて、インストールしたSiteGuard WP Pluginを有効化します。「有効化」ボタンを押せば完了です。
3. メニュー「SiteGuard」から各項目の設定をする
有効化が完了すると、サイドバー下部に「SiteGuard」というメニューが現れます。そこにカーソルを合わせると、メニューが出てくるので、そこから設定したい項目を選びます。
一方、最上部の「ダッシュボード」を選択すると、SiteGuard WP Pluginのダッシュボードが表示され、そこから一目で機能ごとのON/OFF設定の確認ができます。また、ダッシュボードから各種設定ページへ飛ぶことも可能です。
以上が、SiteGuard WP Pluginのインストール・設定の流れです。
SiteGuard WP Pluginは商用利用できるか
SiteGuard WP Pluginは商用利用可能です。
利益を目的にする成果物の中においてSiteGuard WP Pluginを導入することは問題ないとのことなので安心して利用ができます。
このページのまとめ
以上、SiteGuard WP Pluginの機能や設定方法を説明しました。
お分かりの通り、SiteGuard WP Pluginにはたくさんの機能があり、その多くがWordPressのセキュリティ対策において有益なものです。
使用する機能を使用しない機能を判断しながら快適なWordPressライフをお送りください。
また、下記のページではSiteGuard WP Plugin以外にもおすすめのプラグインを紹介しています。どのプラグインを導入しようか迷っている方は参考にしてみてください。