【wordpress】セキュリティ対策プラグインSITE GUARD

2020年5月4日

wordpressでは、ハッキングや乗っ取り、改ざんなどの被害に遭う場合があります。非常に便利なwordpressですが、常に悪意のあるユーザーが狙っています。

こんな話を聞くと、不安になるかもしれません。しかし、対策をしっかりすれば、リスクは最低限に抑えられます。

 

今回は、セキュリティ面での不安を解消する、「SITE GUARD」というプラグインを紹介します。

SITE GUARDの使い方

まずは、インストールして、有効化します。この直後、ログイン画面が変更されるので、注意して下さい。

WordPressのログインページ（wp-login.php）が「login_<5桁の乱数>」に変更されます。

設定はダッシュボードから変更することができますので、不必要ならoffにすると良いです。

 

SITE GUARDには以下の機能があります。

管理ページアクセス制限	ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守ります。
ログインページ変更	ログインページ名を変更します。
画像認証	ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化	ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック	ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート	ログインがあったことを、メールで通知します。
フェールワンス	正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御	XMLRPCの悪用を防ぎます。
更新通知	WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポート	WAF (SiteGuard Lite)の除外リストを作成します。

様々な機能がありますが、その内の一部を紹介します。

管理ページアクセス制限

こちらの機能は、ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守ります。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。

 

海外IPの管理画面へのアクセス制限をしていない場合などは、是非とも利用しましょう。

 

ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。

 

この設定を行なっている際に新たなIPアドレスでログインする際は、wp-login.phpからログインします。ログインページを変更した場合は変更後のURLにアクセスします。

 

この機能は、ログインページ変更と併せて行うと効果的です。

フェールワンス

この中に「フェールワンス」がありますが、説明の通り、正しい入力を行っても、ログインを一回失敗します。

 

ブルートフォースアタック(可能な組合せを全て試すやり方。総当たり攻撃とも言われる。)に対してかなり効果的です。仮に正しいパスワードを当てても、2回入力しなければログインできません。また、このプラグインではログイン履歴は記録されるので、ブルートフォースアタックがあればすぐにわかります。

ログインロック

これは是非利用したい機能です。短時間でログイン失敗を繰り返す接続元の一定期間ロックできます。

不正ログインはたいてい機械的に行われます。そのため、この機能でかなり不正ログインを防げます。

wordpressを悪用されないためにすること

wordpressがハッキングや乗っ取り、改ざんなどの被害に遭わないように、日頃から気を付けましょう。

パスワード

パスワードは定期的に変更しましょう。桁数はより多く、より複雑にしましょう。最低8桁以上にすべきですが、できれば12桁以上にするのが良いです。

プラグイン

忘れずに更新しましょう。尚、SITE GUARDでは、WordPress、プラグイン、テーマの更新を、メールで通知します。

不必要なプラグインは削除しましょう。

最後に

尚、乗っ取られてしまうと、いきなり訳の分からないサイトに飛ばされたり、データを失ったりします。

インターネットでサイトを開こうとすると、「ウイルスに感染しました」「当選しました」などの迷惑広告がいきなり表示されることがありますが、乗っ取られたサイトにもこのような迷惑広告のスクリプトが仕込まれる場合があります。

詐欺サイトがいきなり表示されれば、ユーザーにとっても迷惑です。また、せっかく書いた記事を消されることがあるので、セキュリティ対策はしっかりと行いましょう。そして、万が一に備えてバックアップは定期的にするようにしましょう。