当サイトはアフィリエイトを利用しサービスを紹介しています。
スポンサーリンク

不正ログイン対策 Siteguard WP Plugin のおすすめ設定と使い方

WordPress Siteguard Plugin不正ログイン防御アイキャッチ画像




WordPress のインストールが完了したから、早速ブログを書き始めよう!


WordPressがインストールできたら、すぐにでもブログ執筆に取りかかりたいですよね。


でも WordPress(ワードプレス)は初期状態のままだとセキュリティ的にとても危険なんです。
特に管理画面にログインされやすいという点で防御が弱い状態です!


もし不正にログインされてしまうと、せっかく作り上げたサイトが改ざんされたり、情報をすべて消失してしまう危険があります!



そんなことにならないために無料プラグイン SiteGuard WP Plugin を使うことで、WordPressの管理画面・ログイン画面への第三者によるアクセスからサイトを保護することができます。

SiteGuard WP Plugin 12個 の設定項目


① 管理ページアクセス制限
② ログインページ変更
③ 画像認証
④ ログイン詳細エラーメッセージ無効化
⑤ ログインロック
⑥ ログインアラート
⑦ フェールワンス
⑧ XMLRPC防御
⑨ ユーザー名漏えい防御
⑩ 更新通知
⑪ WAFチューニングサポート
⑫ ログイン履歴


今回の記事では最低限やっておくべきセキュリティ対策の一つとして「SiteGuard WP Plugin」を活用して、WordPressを安心して使えるように設定する方法を解説していきます。


この「SiteGuard WP Plugin」導入以外にも、WordPress開設したらまずやっておいたほうがいい設定について、下記の記事で解説しているのでご参考ください。

【初心者必見】WordPressブログ開設後にすぐやるべき初期設定9選
WordPressブログを開設した初心者向けに、書き始める前に必ずやっておくべき初期設定を解説します。SEO対策に不可欠なパーマリンク設定やSSL化、サイトの安全を守るセキュリティ対策、不要なプラグインの削除など、後で後悔しないための重要項目を網羅。
limonenote.com



「SightGuard WP Plugin」の重要性と攻撃の実態

SiteGuard WP Plugin 紹介イメージ


ぼくの小さな個人サイトに、攻撃してくる人なんていないよ。

そう思いたくなるかもしれません。

今、世界中のWebサイトの約43%が WordPress を利用していて、それほどまでに多くの人に利用されているのでサイバー攻撃の主要な標的になっています。

セキュリティ企業のレポートによると、2025年の4月〜6月のわずか3ヶ月間で、約5億2,600万件もの攻撃が検知されていて、これは前年同期比で78%の増加とのことです。

攻撃の頻度は毎秒約 67回の計算で、特にWordPress の脆弱性を狙ったスキャン攻撃が継続しているようです。

この数値は、私たちの WordPress サイトがとても小規模なものでも、常に攻撃の危機に晒されていることを示しています。

無防備な状態では、必ず損害を被ることになるんです。

SiteGuard WP Plugin はどのように保護になる?



WordPressのログインURLは初期状態では/wp-admin/wp-login.phpとなっているので、だれでもすぐにWordPressログイン画面(管理ページ)にたどり着ける状態になっています。

「SiteGuard WP Plugin」を使えば簡単にログインページを変更したりユーザー名が表示されないようにできるので、第三者が容易にアクセスできないよう基本的なセキュリティ対策の設定ができます。



SiteGuard WP Plugin のインストール

さっそく WordPress にプラグインを新規追加していきましょう。

サイドバーの「プラグイン」をクリックしてから「新規追加」へと進みます。

プラグイン新規追加イメージ




検索枠に「SiteGuard WP Plugin」と入力して該当のプラグインの「今すぐインストール」をクリックします。

新規追加プラグイン今すぐインストールイメージ




インストールが完了したら「有効化」させます。

プラグイン有効化イメージ




有効化すると同時に自動的にWordPressログインページのURLが変更されます。

ログインページのURLは後から解説する項目で自分の指定したURLに変更できるので、一旦そのままにしておきます。

ログインページURL変更通知イメージ




サイドバーに「SiteGuard WP Plugin」が表示されているので「 ダッシュボード」から設定していきます。

SiteGuardダッシュボードイメージ




「SiteGuard WP Plugin」のダッシュボードで11項目の設定状況の一覧が確認できます。
(12番目の項目ではログイン履歴が確認できます)

SiteGuardダッシュボード設定一覧イメージ


1. 管理ページアクセス制限(初期値OFF、おすすめOFF)

管理ページアクセス制限イメージ



「管理ページアクセス制限」とは、ログインが行われていない接続元IPアドレスが管理ページにアクセスできないように制限する機能です。さらに24時間以上ログインしてない接続元IPアドレスからのアクセスを遮断します。

管理ページアクセス制限オフイメージ


セキュリティ的に強固になりますが、自分のIPアドレスが変わると突然繋がらなくなることがあり、自分も24時間おきにログインし直す必要があるなど不便にもなります。ここはオフで良いです。

2. ログインページ変更(初期設定ON、おすすめ設定ON)

ログインページ変更イメージ


Siteguard WP Pluginのメインの設定部分とも言えるのがこの「ログインページ変更」です。


ここでWordPressのログインURLを自分仕様のURLに変更できます。


このプラグインをインストールした時点で自動で/login_(5桁の数字)というURLに変更されます。

Siteguard WP Pluginは多くのサイトで利用されているプラグインなので、5桁の数字を総当たりで突破される可能性もあるので文字列はデフォルトの状態から自分で決めたものに変更しておくことをお勧めします。

ログインページ変更オプションイメージ

さらに「管理者ページからログインページへリダイレクトしない」にもチェックを入れておきます。


「https://サイトドメイン/wp-admin」へリダイレクトされてしまうとURLを変更した意味が全くないです。

変更したログインURLは重要な情報なので必ずメモしておき、お気に入りに追加しておきましょう。


3. 画像認証(初期値ON、おすすめON)

画像認証イメージ



「画像認証」機能とは、管理画面にログインしようとすると下のように表示された文字画像の入力が必須になるものです。

人間には判読できても、ボットにとって文字画像の判別が困難であることを活用した保護機能です。

画像認証文字入力イメージ




文字画像はデフォルトのままのひらがなにしておくほうが、特に海外からの不正アクセスを防ぐ効果もあるのでそのままにしておきます。

画像認証ひらがな指定イメージ


4. ログイン詳細エラーメッセージ無効化(初期値ON,おすすめON)

ログイン詳細エラーメッセージの無効化イメージ

ログインに失敗した時のエラーメッセージの内容をあいまいにさせる機能です。


どういうことかと言うと、初期設定の状態でユーザー名やパスワードを間違って入力した時に「ログイン時のユーザー名が違っている」とか「パスワードが間違っている」などとわざわざ具体的なエラーが表示されてしまって、攻撃者にヒントを与えることになります。

エラー内容詳細表示イメージ




「ログイン詳細エラーメッセージの無効化」をONにすることで、ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージ「エラー:入力内容を確認の上、もう一度送信してください」と表示されるようになります。

曖昧エラーメッセージイメージ

この機能もオンのままにしておきましょう。

5. ログインロック(初期値ON、おすすめON)

ログインロックイメージ

ログイン失敗を何度も繰り返すと一定時間ロックさせる機能です。パスワード総当たり攻撃に対して有効です。


ONにしつつ下記のように設定の中で一番厳しめにしておくと効果的です。
(30秒間に3回ログインに失敗したら、5分間ロックさせる)

ログインロックイメージ



6. ログインアラート(初期値ON、おすすめON)

ログインするたびにメール通知が入ります。第三者による不正ログインがあったらすぐに気づけます。

ログインアラートイメージ



毎回通知されると煩わしいのであればオフにしますが、誰かがログインしたらリアルタイムで気付けるという面ではオンがおすすめです。

ログインアラートメール本文イメージ



7. フェールワンス(初期値OFF、おすすめOFF)

フェールワンス機能イメージ

フェールワンス(fail once)とは意味通り「一回失敗する」ということです。正しくログインしても1回目は必ず失敗となって、5秒以降60秒以内にもう一度正しくログインし直せばログインできるという仕組みです。

この機能を有効にすることで、不正ログインを試みる第三者がたまたま正しいIDとパスワードで入力してきたとしても1回目では必ず失敗となるので、そのログイン情報は間違いだったと思わせるわけです。

外部からの攻撃に対して防御する効果はあると思いますが、自分ログインする時にも正しくパスワードを入力しても1回は必ずはじかれるというのは利便性に欠けます。

当サイト環境ではオフにしています。

8. XMLRPC防御(初期値ON、おすすめON)

XMLRPCとは、Wordpressの管理画面からではなく外部からWordpressを操作する機能です。

XMLRPC防御イメージ




外側からの不正操作を防止するため、初期の「ON」のままにしておきます。こちらの環境ではONにしつつ厳しめにXMLRPC無効化にしています。

XMLRPC防御と無効化イメージ


9. ユーザー名漏えい防止機能(初期値OFF、おすすめ ON)

ユーザー名漏えい防御イメージ

ユーザー名漏えい防止は、WordPressのユーザー名を防止する機能です。

WordPressではhttps:// (サイトURL)/?author=0 と入力すると、ユーザー名が表示されます。

WordPressのログインユーザー名を保護するためにもONにしておくことをお勧めします。

10. 更新通知(初期値ON)

更新通知イメージ



更新通知をオンにしておくことで、WordPress・プラグイン・テーマの新しいバージョンがリリースされたタイミングでメール通知される機能です。

更新通知無効イメージ


初期状態ではONになっていますが、ログインしてダッシュボードを確認すれば気づくものなので特に必要なければ「OFF」で問題ありません。

11. WAFチューニングサポート(初期値OFF)

WAFチューニングサポートイメージ



WAFチューニングサポートとは、WAF(Web Application FireWall)が導入されているサーバーで、誤検知を回避するための機能です。必要な場合以外は何も設定せずOFFのままにしておきます。

WAFチューニングサポートオフイメージ



12. ログイン履歴

ログイン履歴

ログイン履歴で、文字通りログインした履歴が一覧で表示されます。不審なアクセスがないか時折確認すると良いと思います。

SiteGuard WP Plugin のおすすめ設定まとめ

WordPress安全安心使用イメージ

WordPress管理画面には、丹精込めて作成したブログ記事や個人情報など大切な資産が詰め込まれています。

完全な防御というものはありません。攻撃者もあの手この手で不正アクセスを試みます。
狙われるのは「自分は大丈夫だ」と考えている人、または情報弱者です。

WEBに携わる者として正しい IT知識を取り入れて、自分と周りの人の身を守っていきたいものですね。

安心してサイト運用できる環境作りを、これからも意識していきましょう。

ブログ記事作成に役立つツールや設定方法まとめ


● WordPress ブログで文章中の特定の文字を囲みたい時の設定方法
● WordPress ブログの文字列に小さな画像(インライン画像)を挿入する方法
● WordPress ブログで「アンダーライン」の色を自作する方法
● ブログ記事内の誤入力文字を一括で置換する「Search Regex」の使い方
● WordPress ワンクリックで画像を拡大表示させたい時の設定方法(プラグインなし)

スポンサーリンク
スポンサーリンク