WordPressのインストールが完了したから早速ブログを書き始めよう!
WordPressは初期状態のままではセキュリティ的に脆弱です。特に管理画面にログインされやすいという点で防御が弱い状態です。
もし不正にログインされてしまうと、せっかく作り上げたサイトが改ざんされたり情報をすべて消失する危険もあります。
そんなことにならないために無料プラグインSiteGuard WP Pluginを使うことで、WordPressの管理画面・ログイン画面への第三者によるアクセスからサイトを保護することができます。
今回の記事では基本的なセキュリティ対策として「SiteGuard WP Plugin」を活用してWordPressを安心して使えるように設定する方法を解説していきます。
WordPressのログインURLは初期状態では/wp-adminや/wp-login.phpとなっているので、だれでもすぐにWordPressログイン画面(管理ページ)にたどり着ける状態になっています。
「SiteGuard WP Plugin」を使えば簡単にログインページを変更したりユーザー名が表示されないようにできるので、第三者が容易にアクセスできないよう基本的なセキュリティ対策の設定ができます。
- SiteGuard WP Pluginのインストール
- ① 管理ページアクセス制限(初期値OFF、おすすめOFF)
- ② ログインページ変更(初期設定ON、おすすめ設定ON)
- ③ 画像認証(初期値ON、おすすめON)
- ④ ログイン詳細エラーメッセージ無効化(初期値ON,おすすめON)
- ⑤ ログインロック(初期値ON、おすすめON)
- ⑥ ログインアラート(初期値ON、おすすめON)
- ⑦ フェールワンス(初期値OFF、おすすめOFF)
- ⑧ XMLRPC防御(初期値ON、おすすめON)
- ⑨ユーザー名漏えい防止機能(初期設定OFF、おすすめ設定ON)
- ⑩更新通知(初期設定ON)
- ⑪ WAFチューニングサポート(初期値OFF)
- ⑫ログイン履歴
- あとがき
SiteGuard WP Pluginのインストール
さっそくWordPressにプラグインを新規追加していきましょう。
サイドバーの「プラグイン」をクリックしてから「新規追加」へと進みます。
検索枠に「SiteGuard WP Plugin」と入力して該当のプラグインの「今すぐインストール」をクリックします。
インストールが完了したら「有効化」させます。
有効化すると同時に自動的にWordPressログインページのURLが変更されます。
ログインページのURLは後から解説する項目で自分の指定したURLに変更できるので、一旦そのままにしておきます。
サイドバーに「SiteGuard WP Plugin」が表示されているので「 ダッシュボード」から設定していきます。
「SiteGuard WP Plugin」のダッシュボードで11項目の設定状況の一覧が確認できます。
(12番目の項目ではログイン履歴が確認できます)
① 管理ページアクセス制限(初期値OFF、おすすめOFF)
「管理ページアクセス制限」とは、ログインが行われていない接続元IPアドレスが管理ページにアクセスできないように制限する機能です。さらに24時間以上ログインしてない接続元IPアドレスからのアクセスを遮断します。
セキュリティ的に強固になりますが、自分のIPアドレスが変わると突然繋がらなくなることがあり、自分も24時間おきにログインし直す必要があるなど不便にもなります。ここはオフで良いです。
② ログインページ変更(初期設定ON、おすすめ設定ON)
Siteguard WP Pluginのメインの設定部分とも言えるのがこの「ログインページ変更」です。
ここでWordPressのログインURLを自分仕様のURLに変更できます。
このプラグインをインストールした時点で自動で/login_(5桁の数字)というURLに変更されます。
Siteguard WP Pluginは多くのサイトで利用されているプラグインなので、5桁の数字を総当たりで突破される可能性もあるので文字列はデフォルトの状態から自分で決めたものに変更しておくことをお勧めします。
さらに「管理者ページからログインページへリダイレクトしない」にもチェックを入れておきます。
「https://サイトドメイン/wp-admin」へリダイレクトされてしまうとURLを変更した意味が全くないです。
変更したログインURLは重要な情報なので必ずメモしておき、お気に入りに追加しておきましょう。
③ 画像認証(初期値ON、おすすめON)
「画像認証」機能とは、管理画面にログインしようとすると下のように表示された文字画像の入力が必須になるものです。
人間には判読できても、ボットにとって文字画像の判別が困難であることを活用した保護機能です。
文字画像はデフォルトのままのひらがなにしておくほうが、特に海外からの不正アクセスを防ぐ効果もあるのでそのままにしておきます。
④ ログイン詳細エラーメッセージ無効化(初期値ON,おすすめON)
ログインに失敗した時のエラーメッセージの内容をあいまいにさせる機能です。
どういうことかと言うと、初期設定の状態でユーザー名やパスワードを間違って入力した時に「ログイン時のユーザー名が違っている」とか「パスワードが間違っている」などとわざわざ具体的なエラーが表示されてしまって、攻撃者にヒントを与えることになります。
「ログイン詳細エラーメッセージの無効化」をONにすることで、ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージ「エラー:入力内容を確認の上、もう一度送信してください」と表示されるようになります。
この機能もオンのままにしておきましょう。
⑤ ログインロック(初期値ON、おすすめON)
ログイン失敗を何度も繰り返すと一定時間ロックさせる機能です。パスワード総当たり攻撃に対して有効です。
ONにしつつ下記のように設定の中で一番厳しめにしておくと効果的です。
(30秒間に3回ログインに失敗したら、5分間ロックさせる)
⑥ ログインアラート(初期値ON、おすすめON)
ログインするたびにメール通知が入ります。第三者による不正ログインがあったらすぐに気づけます。
毎回通知されると煩わしいのであればオフにしますが、誰かがログインしたらリアルタイムで気付けるという面ではオンが良いかと思います。
⑦ フェールワンス(初期値OFF、おすすめOFF)
フェールワンス(fail once)とは意味通り「一回失敗する」ということです。正しくログインしても1回目は必ず失敗となって、5秒以降60秒以内にもう一度正しくログインし直せばログインできるという仕組みです。
この機能を有効にすることで、不正ログインを試みる第三者がたまたま正しいIDとパスワードで入力してきたとしても1回目では必ず失敗となるので、そのログイン情報は間違いだったと思わせるわけです。
外部からの攻撃に対して防御する効果はあると思いますが、自分ログインする時にも正しくパスワードを入力しても1回は必ずはじかれるというのは利便性に欠けます。
当サイト環境ではオフにしています。
⑧ XMLRPC防御(初期値ON、おすすめON)
XMLRPCとは、Wordpressの管理画面からではなく外部からWordpressを操作する機能です。
外側からの不正操作を防止するため、初期の「ON」のままにしておきます。こちらの環境ではONにしつつ厳しめにXMLRPC無効化にしています。
⑨ユーザー名漏えい防止機能(初期設定OFF、おすすめ設定ON)
ユーザー名漏えい防止は、WordPressのユーザー名を防止する機能です。
WordPressではhttps:// (サイトURL)/?author=0 と入力すると、ユーザー名が表示されます。
WordPressのログインユーザー名を保護するためにもONにしておくことをお勧めします。
⑩更新通知(初期設定ON)
更新通知をオンにしておくことで、WordPress・プラグイン・テーマの新しいバージョンがリリースされたタイミングでメール通知される機能です。
初期状態ではONになっていますが、ログインしてダッシュボードを確認すれば気づくものなので特に必要なければ「OFF」で問題ありません。
⑪ WAFチューニングサポート(初期値OFF)
WAFチューニングサポートとは、WAF(Web Application FireWall)が導入されているサーバーで、誤検知を回避するための機能です。必要な場合以外は何も設定せずOFFのままにしておきます。
⑫ログイン履歴
ログイン履歴で、文字通りログインした履歴が一覧で表示されます。不審なアクセスがないか時折確認すると良いと思います。
あとがき
WordPress管理画面には、丹精込めて作成したブログ記事や個人情報など大切な資産が詰め込まれています。
できる限り不正アクセスしようとする攻撃からサイトを保護して安心して活用できる環境作りも意識していきましょう。