僕はWordpressでブログを運営することをオススメしています。
いろいろと理由はありますが、やはり世界的にも利用者が多く、プラグインを利用することで自分好みにカスタマイズしやすい、と言ったところではないでしょうか。
しかし利用者が多いということは、悪意のあるハッカーに狙われやすい、という側面も持ち合わせています。
そこで今回は、そんな危険から簡単に身を守るためのセキュリティプラグイン「SiteGuard WP Plungin」を紹介します。
こちらを使って自身のサイトのセキュリティ強化を簡単に行ってしまいましょう。
SiteGuard WP Plunginのインストール方法
1. WordPress左一覧のプラグインより「新規追加」をクリックし、「SiteGuard WP Plungin」を検索して、見つけ出したら「今すぐインストール」をクリックします。
2. インストールが終わったら「有効化」をクリックしてください。
これでインストールは完了です。
インストールが完了するとこの様に「ログインページURLが変更されました。」というメッセージが表示されるようになります。
今後、ログインページURLが変更されたものになりますが、ここで変更されたURLをブックマークしなくても大丈夫です。
続いて設定の解説をしていきます。
SiteGuard WP Plunginの設定解説
1. WordPress左一覧から「SiteGuard」を探し出し、クリックしてください。
ダッシュボードに移動します。
2. こちらがダッシュボード画面(ディフォルト)になります。
緑のチェックが付いている項目が「ON(有効)」になっているセキュリティ対策です。
変更するためには個々の項目をクリックしてください。
それぞれの項目でどの様なセキュリティ対策がなされるかを説明していきます。
管理ページアクセス制限
「管理ページアクセス制限」は、Wordpressのログインページ以外からアクセスを試みた場合、404エラーを表示させる機能です。
WordPressのログインページのURLはそれぞれのドメインに「wp-admin」がくっついた物となっています。
そしてログインした後のWordpressの管理画面は、例えば投稿であったり、設定であったり、コメントであったり、それぞれのURLは「WP-admin/〇〇〇〇」と「wp-admin」後ろにそれぞれのアドレスがくっつく形で管理されています。
投稿であれば、「wp-admin/edit.php」、
設定であれば、「wp-admin/options-general.php」、
コメントであれば、「wp-admin/edit-comments.php」、
といった具合です。
そして、ログインしていない状態で、例えば投稿ページのURLを打ち込むと、ログインページのURLを打ち込んだのと同様、IDとPasswordsの入力画面に移動します。
ログインページのURL「wp-admin」でセキュリティ対策をしていたとしても、投稿などの下層ページにアクセスすることでログインができてしまうようでは、大きな抜け穴がある状態なのは、理解できますよね。
そこでこちらの「管理ページアクセス制限」を使うことで、その抜け穴を塞いでしまおう、ということになります。
「管理ページアクセス制限」のせいでログインできなくなることも
こちらの機能を有効にする場合、一つ注意が必要となります。
というのも、「ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返す」機能が含まれているため、何らかの拍子にモデムが新しいIPアドレスに変えてしまうと、ログインができず、404エラーが表示されるようになってしまいます。
ご使用のネット環境によっては、IPアドレスが変更することがある場合もあるでしょう。
その様な環境におられる方は、こちらの「管理ページアクセス制限」機能は「OFF(無効)」にしておきましょう。
ログインページ変更
WordPressのログインページのURLを変更させる機能です。
WordPressのログインページは「WP-login.php」とどのドメインでも共通なので、ドメインがわかってしまうと管理画面へのログインページも自動的にわかってしまいます。
こちらの「ログインページ変更」機能を使うことで、「login_〇〇〇〇〇」と任意の数字5桁のURLに変更されます。
これによって第三者によるログインページへのアクセスが難しくなり、その分、セキュリティが上がるという仕組みです。
新URLのブックマークを忘れずに
この「ログインページ変更」機能を使うと、これまでのURLでログインページにアクセスできなくなります。
必ず、新しいURLをブックマークし直してください。
もし、新しいURLを忘れてしまった場合、Xサーバーのサーバーパネルにログインし、「.htaccess編集」から確認することができます。
/ドメイン(/public_html)/.htaccessファイルを開くと、以下のような「SiteGuard Plugin Setting Start」に関する記述がありますので、探してください。
その箇所の6行目に新URL、『login_12345』が記載されています。
この5桁の数字が、新しいURLとなります。
画像認証
ログインやコメント入力の際に4桁の画像認証が必要となります。
「ひらがな」を選ぶことができるため、海外からの不正ログインや、コメントに多投稿されるスパムをほとんどカットすることができます。
「画像認証」機能を有効にした後のログインページにです。
この様にひらがな4文字を入力する項目が増えています。
ログイン詳細エラーエッセージの無効化
ログインを間違えた際に、「IDがまちがっています」、「パスワードが間違っています」といった表示を無効化します。
親切に「IDがまちがっています」、「パスワードが間違っています」と表示させることで、逆にIDが正しいことやパスワードが正しいことがわかってしまいますよね。
ログイン失敗の原因を教えないことで、逆に正しい情報であることを教えないようにするわけです。
ログインロック
ログインに連続で失敗したばあい、暫くの間ログインができないようにしてしまう機能です。
通常不正アクセスはコンピューターを使って自動で行われます。
例えば5桁の数字の組み合わせであれば、「00000」から「99999」の10万通りの組み合わせを試すわけです。
この組み合わせを、プログラムを使って短時間のうちに10万回ログインしようしているのですが、「ログインロック」を有効にすることでこういったプログラムを使った不正アクセスができないようにすることができるのです。
ログインアラート
WordPressの管理画面にログインした際にメールでお知らせしてくれる機能です。
自分がログインしていないときにメールが届いた場合は、誰かが不正にログインをしているということになります。
ちなみにじぶんでログインをした場合にもメールが届きます。
メールの本文を変更することもできますが、デフォルトのままでいいでしょう。
フェールワンス
正しいIDとPassを入力しても1回目はかならず失敗し、「IDとPasswordが間違っている」と表示させる機能です。
機械であれ、人の手であれ、不正アクセスをしようとした悪意のある第三者が、正しいIDとPasswordを入力したとしても間違っていると表示されるので、諦めて次の獲物を探しに素通りしまう可能性が高くなります。
1回目の入力から5秒以後、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
セキュリティは強固になりますが、ログインを頻繁に行うというのであれば、煩わしいと感じる機能かもしれません。
XMLRPC防御
ピンバックによる不正な攻撃を防ぐ機能です。
ピンバックとはブログにリンクが張られたことを通知する機能です。
この機能を悪用した攻撃でDDos攻撃というものがあり、大量のアクセスを特定のサイトに送ることで、サーバーへ負担をかけダウンさせるといったものです。
ただしせっかくピンバックをもらえたのに無効になってしまうというデメリットもありますので、使用するかどうかは、ご自身の判断となります。
「XMLRPC無効化」の方は選択すると、他のプラグインに影響を及ぼしてしまう可能性があります。
「XMLRPC防御」を有効にする場合は、「ピンバック無効化」だけを選択することをオススメします。
更新通知
WordPress、インストールしたプラグイン、使用しているテーマで最新版が発表されたとき、メールで知らせてくれる機能です。
常に最新バージョンを利用することが、セキュリティ対策の基本です。
「更新通知」機能を「ON(有効)」にして、最新バージョンの発表を見逃さないようにしましょう。
WAFチューニングサポート
借りてるレンタルサーバーなどでWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知を防ぐためのルールを作成する機能です。
ログインができなくなったときの対処法
「SiteGuard WP Plungin」でセキュリティ強化をしたはいいが、ログインができなくなった、というハプニングが起こる可能性があります。
そういう僕も、最初にインストールした後、「画像認証」を有効にしてログアウトし、再度ログインしようとしたのですが、いくらやっても「入力が間違っている」という表示がでてしまい、焦った事がありました。
いろいろとググって調べてみたものの、それまで問題なくログインできていたのに、突然、404エラーの表示がなされてログインできなくなった事例はいくつかあるものの、「画像認証」でログインできなくなった(ひらがな4文字が入力ミスと判断される)事例は見当たりませんでした。
もしかすると、海外からのアクセスが何らかの原因かもしれませんが、とにかくログインできないのでは困ります。
そんな状況になった場合の対処法を解説しておきますので、参考にしてください。
追記)
その後、いろいろと試してみたところ、ログインできない原因は「画像認証」ではなく、「フェールワンス」機能であったことがわかりました。
いまは、「画像認証」機能は有効にして、「フォールワンス」機能を無効にしています。
FTPソフトで「SiteGuard WP Plungin」を削除
サーバー内にある自分のサイトのデータ内より「SiteGuard WP Plungin」を削除してしまうという方法です。
すべてのセキュリティ機能がなくなりますが、原因がわからないため、今の所、これ以外の方法がありません。
「SiteGuard WP Plungin」を削除しても、またインストールし、「画像認証」機能を「ON(有効)」にしなければいいだけですので、それほど手間なくセキュリティ機能を回復させることができます。
1. 「FFFTP」を起動させ、サーバーにあるご自身のホストと接続してください。
「FFFTP」をインストールしていない場合は、こちらの記事を参考にしてください。
2. 「SiteGuard WP Plungin」を削除したいドメインのファイルをダブルクリックします。
3. 「public_html」ファイルをダブルクリックします。
4. 「WP-content」ファイルをダブルクリックします。
5. 「plugins」ファイルをダブルクリックします。
6. 「siteguard」ファイルを探しだしたら、右クリックから「削除」を選んでクリックしてください。
7. これで「SiteGuard WP Plungin」の削除は終了です。
ログインページよりログインができるようになります。
最後に
いかがでしたでしょうか?
セキュリティ対策はとても重要です。特にブログが育ってきて、訪問者が増え、収益を上げてくれるようになって、ようやく資産になったときに、外部からの攻撃でサイトが使用できなくなってしまっては、目も当てられません。
コンピューターやインターネットにそれほど詳しくない人でもこの「SiteGuard WP Plungin」を利用することで、格段に高いセキュリティ対策が可能です。
ぜひ、活用するようにしてください。
最後になりますが、セキュリティ対策の基本は常に最新バージョンを利用することです。
WordPress、プラグイン、使用しているテーマを常に最新バージョンにすることを忘れないでくださいね。
