WordPressのセキュリティ対策に!SiteGuard WP Pluginの設定方法
ブログを運営していると怖いのが、誰か悪意のある第三者に攻撃をされてコンテンツをむちゃくちゃにされてしまうこと。
まだアクセスも全く集まっていないブログであれば目をつけられる可能性も低いでしょうが、これがアクセスが集まってくるようになるとかなり攻撃されるようになってきます。
攻撃をされると、勝手にログインをされてパスワードを書き換えられたり、中のデータを消されたり…
苦労して作ったコンテンツが一瞬のうちにしてダメになる可能性があるので非常に怖いです。
そこで今回はWordPressのセキュリティ対策として非常に有効性が高い、”SiteGuard WP Plugin“というプラグインについて紹介をしていきます。
なかなかに優れたプラグインでして、とりあえずWordPressを使っている人はこれを入れたほうがいい…
Contents
WordPressに迫る脅威の種類
普段はあまり意識することはないでしょうが、世界で一番使われているCMS(コンテンツマネージメントシステム)ということで実はWordPressはけっこう国内外から攻撃をされています。
以下はそうしたWordPressに迫る脅威の例です。
ブルートフォース攻撃
総当たり攻撃と言われる暗号解読方法。
考えられる全てのパスワードをプログラムを使ってひたすら入力して突破を試みる。
特にWordPressの場合は「http://ブログURL/wp-login.php」と入力すれば簡単にログインページを開けてしまうため、パスワードの文字数が少ないと簡単に突破されてしまうので非常に危険。
リスト攻撃
何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトに不正アクセスを試みる方法。
パスワードを複数管理するのが面倒だからといって、どのサービスでも同じパスワードを設定しているとその中のどれか一つでもバレた時かなり危ない。
DDoS攻撃
サーバの負荷や通量を一時的に増加させ、サーバを停止状態に追い込むことを目的とした攻撃。
DoS攻撃では単一のコンピュータにより実行されるが、DDoS攻撃はその進化版で複数のコンピュータから一斉に送信される。
WordPress、プラグイン、テーマの更新不足
ウイルスは次から次へと新しいものが出てくるので、WordPressやプラグインは常に最新のバージョンにしておくことが重要。
稀だが過去には「All in One SEO Pack」のような鉄板プラグインで深刻な脆弱性が見つかったこともある。
WordPressのセキュリティ対策プラグイン・”SiteGuard WP Plugin“
上で挙げたような脅威への対策として有効なのが、今回紹介する”SiteGuard WP Plugin“です。
このプラグインは株式会社ジェイピー・セキュアというセキュリティ関連製品の開発・販売・サポートを行う会社が提供しているプラグインで、以下のような設定をすることができます。
- ログイン画面のURLを変更する
- ログイン画面に画像認証を追加する
- ログインしていないログイン元からのログインを拒否する
なかなかに優秀なプラグインで「WordPressを使っている人はとりあえずこれを入れておくべき」というくらい。
自分のブログに勝手にログインをされて、これまで苦労して作ったコンテンツが全て水の泡…なんて状態にならないように、このプラグインでセキュリティを強固にしておきましょう。
SiteGuard WP Pluginのインストール
WordPressのメニューから「プラグイン」⇒「新規追加」で”SiteGuard WP Plugin“をインストールして有効化しましょう。
プラグインのインストール方法が分からない方は下の記事を参考にしてみてください。
⇒ WordPressにプラグインをインストールする方法と注意点
SiteGuard WP Pluginを有効化する時の注意点
SiteGuard WP Pluginをインストールして有効化すると、自分のサイトのログインページが自動で変更されます。
これが自動で変わったことに気づかないでWordPressからログアウトしてしまうと、管理画面にログインできなくなるので注意しましょう。
後からまた設定をしますが、とりあえず自動で変わってしまったログインページのURLを戻しておきたい場合、下の画像のピンクの四角で囲まれた「こちら」を押しましょう。
そうすると次のような画面になるので、「OFF」を押します。
これで自動で変わってしまったログインページのURLが元に戻りました。
僕はこれに気づかずに半日ほどログインできない状態と闘ったので、そんなことはないように(笑)
SiteGuard WP Pluginの設定方法
SiteGuardはインストールをするとWordPressメニューの左側の項目として追加されます。
ここから「ダッシュボード」を選択すると次の画面になります。
それではそれぞれの設定項目について見ていきましょう。
管理ページアクセス制限
「オン」にすると、ログインしていないログイン元からログインページにアクセスがあった場合に404エラーで返すことができます。
WordPressは「http://ブログURL/wp-login.php」を入力すれば誰でも簡単にログインページに到達できますが、これを「オン」にすればそのページを開けなくなるので非常に有効です。
ログインページ変更
「オン」にすると、その名の通り、ログインページのURLが変更されます。
変更されたログインページは「http://ブログURL/wp-login.php」から「http://ブログURL/login_○○○○○」に変わり、「○○○○○」の部分は乱数で自動設定、もしくは自分で変更することが可能です。
もしもこの機能でログインページを変更した場合、変更したURLを覚えておかないとかなり大変なので必ずすぐブックマークするなりメモに取るなりしておきましょう。
画像認証
「オン」にすると、ログインページ内に画像認証を設定できる機能。
プログラムによって不正アクセスを試みる場合、このような画像認証をプログラムが突破するのは難しいので大変有効な対策になります。
画像認証は、「ひらがな」と「英数字」から選ぶことが可能な上、コメントにも画像認証を設置できるのでスパムコメントをなくすのにも有効です。
ログイン詳細エラーメッセージの無効化
「オン」にすることで、ログインに失敗した時に表示されるエラーメッセージが全て同じ内容になる機能。
アクセスに失敗した時、「ユーザー名が間違っています」や「パスワードが間違っています」というようにどこで認証に失敗したのかが分かってしまうと相手に攻略のためのヒントを与えることになってしまいます。
それを避けるために、この機能を使えばログインに失敗した時に全て同じエラーメッセージを返すようになります。
ログインロック
「オン」にすると、ログインを試みる期間や回数に制限を設けられる機能。
ブルートフォース攻撃などはひたすらに適当なパスワードを入れまくってログインを試みてくるので、そういった攻撃には非常に有効な機能です。
ログインアラート
「オン」にすると、ログインがあった時に以下のような形でメールが届く機能。
もしも自分以外の誰かにログインページを突破されてしまった場合、大抵の場合はまずパスワードを変更しにかかるので、この通知に気づいた頃にはすでに遅しのことがほとんどです。
よって、多分この機能はほとんど意味ないですね。
フェールワンス
「オン」にすると、正しいログイン情報を入力しても最初の1回目だけ必ずログインが失敗になる機能。
5秒以降、60秒以内に再度ログイン情報を入力するとログインが成功となります。
リスト攻撃のような突破方法に有効な対策で、どんなパスワードを入れても必ず最初はブロックするので正しいパスワードを入れられても防げる可能性が高くなります。
ただし、その分管理者からするといつもログインに時間がかかって面倒なのがデメリットです。
XMLRPC防御
「オン」にするとピンバックを無効化にできる機能。
ピンバックとはWordPressユーザー同士で気軽に相互リンクを行える仕組みのことです。
⇒ WordPressのピンバックの承認はどう対処すべき?無効にする方法も
この機能を悪用した攻撃で相手のサーバーに大量のトラフィックを送ってパンクさせるDDos攻撃がありますが、「オン」にすればその対策ができます。
「XMLRPC無効化」の方を選択すると、他のプラグインに影響を及ぼしてしまう可能性があるため、「ピンバック無効化」を選択しましょう。
更新通知
「オン」にすると、WordPress、プラグイン、テーマに更新があった時に通知をしてくれる機能。
ただ、これらはけっこう頻繁に新しいバージョンが出るのでオンにするとけっこう通知が邪魔です。
毎日のようにWordPressにログインして更新がないか確認しているというのであれば、これはオフでいいと思います。
WAFチューニングサポート
「オン」にすると、WAF(Web Application Firewall)がインストールされている場合に「エラー」を回避するためのルールを設定できる機能。
WAFを設定していないのであればこれは「オフ」でOKです。
まとめ:「攻め」だけでなく「守り」も
ということで今回はSiteGuard WP Pluginの設定方法について紹介をしました。
SEOを強くできたり、記事を書くやすくするプラグインであればおそらくほとんどの方が進んで入れると思います。
しかし、そうした「攻め」だけではなく「守り」を強化することもこれまでの自分の努力を無駄にしないためにも重要です。
「攻撃は最大の防御」という言葉もありますが、ことインターネットの分野に関してはセキュリティを強化したり、バックアップを取っておいたりということは必須ですので、ここのところは抜かりなくやっていきましょう。
