WordPressのログインページURLを変更してセキュリティ対策!プラグインSiteGuard WP Pluginの設定・使い方

どうも。葉です。

あなたは、WordPressのセキュリティ対策をしっかりと行っていますか?

きっと多くの人は、「セキュリティ?めんどくさっ!」と思って何もしていないのではないでしょうか?

ですが、何もせずにWordPressを運営していると、ブログを乗っ取られてしまったり、記事を削除されてしまったりと、とんでもない目に合ってしまうかもしれません。

そこで、この記事では、

  • WordPressのセキュリティのもろさ
  • セキュリティを向上させるプラグインSiteGuard WP Pluginの紹介
  • SiteGuard WP Pluginの使い方・設定方法

についてお話させていただきますね。

1.WordPressのセキュリティはもろい!

まず、あなたに知ってほしいのは、WordPressのセキュリティは、とてももろいということです。

その一番の理由が、ログインページが誰でも簡単にわかってしまうことです。

例えば、適当にWordPressで運営されているであろうブログを見つけて、

  • http://ブログURL/wp-login.php
  • http://ブログURL/wp/wp-login.php
  • http://ブログURL/wp-admin

と入力してみてください。きっと、簡単にWordPressのログイン画面が表示されます。

すると、ブルートフォース攻撃と呼ばれる、ログインが成功するまでずっとユーザー名とパスワードを入力し続ける攻撃を簡単に仕掛けられてしまいます。

それで、もし、あなたのWordPressに他人がログインしてしまったとしたら。。。

  • ブログを乗っ取られる
  • せっかく書いた記事を削除される

といったことが考えられますよね。もしあなたが、そのブログで大きな収入を得ていたとしたら、その被害は、甚大なものになります。

なので、WordPressを運営するなら、必ずセキュリティ対策を行ってください。

2.SiteGuard WP Pluginでセキュリティ対策

そこで、登場するのが今回紹介するプラグイン「SiteGuard WP Plugin」です。

このプラグインでは、

  • ログイン画面のURLを変更する
  • ログイン画面に項目を1つ追加して
  • ログインを一定回数いっぱいしたらログインできなくする
  • etc

といった、セキュリティ機能がついています。

セキュリティ対策をどこまでやるのかは、個々人の考え方により異なりますが、僕は、「SiteGuard WP Plugin」さえ入れておけば、大抵のセキュリティはカバーできると思っています。

実際に、セキュリティ系のプラグインは、「SiteGuard WP Plugin」しか使っていません。

3.SiteGuard WP Pluginのインストール手順

では、実際にプラグイン「SiteGuard WP Plugin」のインストールを行っていきます。

まず、WordPress管理画面の左メニューより「プラグイン→新規追加」をクリックします。

SiteGuard WP Pluginのインストール手順1

プラグインの検索窓に「SiteGuard WP Plugin」と入力します。するとWordPressが、「SiteGuard WP Plugin」を検索してくれます。

そこで、「SiteGuard WP Plugin」の「今すぐインストール」をクリックします。

SiteGuard WP Pluginのインストール手順2

「有効化」をクリックします。

SiteGuard WP Pluginのインストール手順3

プラグイン一覧で、「SiteGuard WP Plugin」の背景が青くなっていれば、有効化されています。

SiteGuard WP Pluginのインストール手順4

以上で、プラグイン「SiteGuard WP Plugin」のインストール・有効化は完了です。

4.SiteGuard WP Pluginで最低限やっておきたい設定

次は、プラグイン「SiteGuard WP Plugin」の設定方法を解説していきます。「SiteGuard WP Plugin」は、設定項目がたくさんあるので「何を設定したら良いのかわからない!」という方もたくさんいるかと思います。

ここでは、「SiteGuard WP Plugin」を使うにあたって絶対にやって起きた必要最低限の設定についてお話します。

ログインページ変更

ここでは、WordPressへのログインページのURLを任意のものに変更します。

WordPress管理画面の左メニューより「SiteGuard→ログインページ変更」をクリックします。

SiteGuard WP Pluginの簡易設定1

変更後のログインページ名に任意の英数字、ハイフン、アンダーバーを入力してください。入力したものが、今後のログインページのURLになります。

次に、「ON」をクリックした後に、「変更を保存」をクリックします。

SiteGuard WP Pluginの簡易設定2

これで、WordPressのログインページのURLが変更になり、セキュリティがアップしたはずです。

ログインテストをしよう!

では、実際にログイン画面のURLが変更になっているかどうかを確認します。

まずは、変更したログインページのURLをコピーします。

SiteGuard WP Pluginのログインテスト1

次に、ブラウザにコピーしたURLを入力してエンターボタンを押します。

SiteGuard WP Pluginのログインテスト2

次のようにWordPressのログイン画面が表示されていれば、問題ありません。それと、ログイン時に表示された文字列の入力が求められます。これによりセキュリティが強化されています。

以上のことを確認したら、「〇〇に戻る」をクリックしてWordPress管理画面に移動してください。

SiteGuard WP Pluginのログインテスト3

※今後、このページがWordPressのログイン画面になるので、必ずブックマークしてくださいね。

元のログインURLが変更されているかを確認

WordPressのセキュリティが脆弱な理由の一つに、ブログURLさえわかれば、ログインページのURLが誰でもわかってしまうところにあります。なので、デフォルトのログインページのURLでは、ログインできないことをしっかりと確認しましょう。

具体的には次の3つのURLにアクセスして、ログイン画面が表示されないことを確認します。

  • http://ブログURL/wp-login.php
  • http://ブログURL/wp/wp-login.php
  • http://ブログURL/ディレクトリ/wp-admin

僕のブログで確認すると次のようになりました。使用しているWordPressテーマによって表示される画面は違うので、僕と全く同じでなくても心配いりません。

とにかくログインページが表示されなければオッケーです。

SiteGuard WP Pluginのセキュリティ強化確認1

以上で、「SiteGuard WP Pluginで最低限やっておきたい設定」の解説は終わります。

5.SiteGuard WP Pluginの詳細設定※興味がある人のみ

基本的には、「SiteGuard WP Pluginで最低限やっておきたい設定」さえ行っていれば、ある程度のセキュリティは保たれます。ですが、心配症な方は、もっとしっかりとセキュリティ設定を行いたいですよね。

ここでは、「SiteGuard WP Pluginの詳細設定」について解説していきます。

SiteGuard WP Pluginの詳細設定1

管理ページアクセス制限→OFF

この設定を「ON」にすると、ログインしたことがないIPアドレスから、管理画面にアクセスしようとした時に、404 Not Foundページを表示します。

セキュリティ面のみを考える場合は、「ON」にしておくべきです。ただし、この設定を「ON」にしておくと、外出先(いつもと違うIPアドレス)で、WordPress管理画面を表示できなくなってしまいます。

ノートパソコンを持ち歩いて、ホテルやスタバなどで作業をする人は、「OFF」にしておいたほうが無難でしょう。

SiteGuard WP Pluginの詳細設定2

画像承認→ON

画像認証をONにすることで、ログインが成功するまでずっとユーザー名とパスワードを入力し続けるブルートフォース攻撃や、スパムコメントを受けにくくなります。

この設定は、「ON」にしておきましょう。ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページなど個別に設定可能です。全部、「ひらがなor英数字」を選択してください。

SiteGuard WP Pluginの簡易設定3

オンにすると、ログイン画面に画像認証の項目が追加されます。

SiteGuard WP Pluginの詳細設定4

記事にコメントを書き込むにも画像認証が必要となります。

SiteGuard WP Pluginの詳細設定5

ログイン詳細エラーメッセージの無効化→ON

通常、WordPressは、ログインに失敗した時に、「ユーザー名が間違っていたのか?それともパスワードが間違っていたのか?」をメッセージで表示してくれます。

親切といえば親切なのですが、セキュリティ面で見るとどこに問題があるのかは、わからないほうがよいです。なので、「ON」にしておきましょう。

SiteGuard WP Pluginの詳細設定6

ログインロック→ON

ここでは、○秒以内に○回ログインに失敗したら、○分ログインを制限することができます。

ログインが成功するまでずっとユーザー名とパスワードを入力し続けるブルートフォース攻撃からWordPressを守るために使います。

下図を参考に「ON」に設定してください。

SiteGuard WP Pluginの詳細設定7

ログインアラート→ON

ログインアラートでは、WordPressにログインしたことをメールで通知してくれます。これにより、不正ログインにいち早く気づくことができます。

ログインした覚えがないのに、ログイン通知が届いたら「不正ログインの可能性があり」です。通知メールには、IPアドレス、リファラ(リンク元)、ユーザーエージェントが書かれていますので、自分でないことが簡単にわかります。

SiteGuard WP Pluginの詳細設定9

フェールワンス→任意

フェールワンスを「ON」にすると、正しいユーザー名とパスワードを入力しても1度だけログインに失敗します。

フェールワンスは、リスト攻撃の防止に有効です。

リスト攻撃とは?

パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。

参照:パスワードリスト攻撃(あらかじめ入手してリスト化したID・パスワードを利用したWebサイトへの不正ログイン)への対応 – Scutum技術関連情報 | クラウド型WAFサービス Scutum【スキュータム】

ちなみに、僕は、「ON」を選択しています。

SiteGuard WP Pluginの詳細設定10

ピンバック・XMLRPC防御→任意

XMLRPCとは?

XMLRPCとは、WordPress管理画面意外の方法で記事を投稿する際に使用します。例えば、メールや、ブログソフトなどを使って記事を投稿するなどですね。

なので、WordPress管理画面意外から記事を投稿している人には不要です。

逆に、メールやブログソフトなどから記事を投稿している人は、無効化しないでください。

ピンバックとは?

ピンバックとは、XMLRPCのAPIを用いて実装されている機能で、WordPressブログ間の相互リンクを促す役割をになっています。

例えば、とあるブログAの記事内でブログBの記事へのリンクを張ったとします。こと時、ブログAからブログBに対して「リンクを張りましたよ!」という通知が届きます。この機能がピンバックです。

さらに、この際、ブログBの運営者がブログAからのピンバックを承認すると、ブログAの記事内でもブログBに対してリンクが貼られます。

これにより、ブログAとブログBの相互リンクが成り立つのです。

Dos攻撃・Ddos攻撃で悪用されるのを防ぐ!

このピンバックという機能は、相互リンクを簡単に行えるので便利なのですが、この機能を有効化していると、Dos攻撃・Ddos攻撃(特定のブログに大量のピンバックを送信してサーバーに負荷をかける)に利用されてしまいます。

要は、あなたのWordPressブログが、特定のブログを攻撃するのに利用されてしまうのです。

知らぬ間に自分のブログが悪用されるのが嫌な人は、この機能を「ON」にしておきましょう。

ただし、ピンバック機能は、使えなくなってしまいますけどね。。。

SiteGuard WP Pluginの詳細設定11

更新通知→任意

ここでは、WordPressの更新情報、プラグインの更新情報、テーマの更新情報をメールで受け取るかどうかを設定できます。

WordPressを常に最新の状態に保っておきたい人は、「ON」にしておきましょう。

僕の場合は、頻繁にWordPressにログインして、WordPress内で確認する癖が付いているので、この機能はOFFにしています。

SiteGuard WP Pluginの詳細設定12

WAFチューニングサポート→OFF

WAF(ウェブアプリケーションファイアウォール)とは?

WAF(ワフ)はWeb Application Firewallの略で、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。

参照:WAFとは?|SiteGuard|キヤノンITソリューションズ

ONで誤検知を回避の例外ルール作成

WAFでは、ウェブアプリケーションを狙った攻撃を防御してくれますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。

そこで、除外ルールを作成することで、正常なアクセスを誤検知しないように設定します。

基本的には、「OFF」で問題ありません。

SiteGuard WP Pluginの詳細設定13

6.まとめ

この記事では、

  1. WordPressの脆弱性
  2. SiteGuard WP Pluginでできること
  3. SiteGuard WP Pluginのインストール手順
  4. SiteGuard WP Pluginで最低限やっておきたい設定
  5. SiteGuard WP Pluginの詳細設定

について解説しました。

ネット上での攻撃というのは目に見えない分疎かにしてしまう人が多いです。

しかし、もし誰かに勝手にログインされてしまうと、

  • ブログを自体を乗っ取られてしまったり
  • せっかく書いた記事をすべて消されて今うなど

言葉にならないような悲惨な自体に陥ってしまいます。

このようなことを未然に防ぐためにも、今のうちからしっかりと、セキュリティ対策をしておきましょう。

 

この記事が気に入ったら
いいね!しよう

最新情報をお届けします