WordPressのセキュリティを
もっと強化したい方へ
この記事は、↓ の記事の続編です
セキュリティ設定の基本についてお話ししました。
この記事の中で
「パスワードを複雑にしよう」とお話しましたが
・・他の人も使っているので変えられない
「なるべく早く最新にアップデートしよう」とオススメしましたが
・・アップデートして壊れたことがあるので怖い
などなど、いろんなご相談をいただきました。
この記事ではそんな方へ向けて、他の対策をご紹介しますね。
とっても簡単です^^
セキュリティプラグインを使うだけです!
セキュリティプラグイン SiteGuardサイトガード
SiteGurard サイトガード、というプラグインです。
セキュリティ設定ができるプラグインはたくさんあります。
私もいろんなものを使いましたが
この「サイトガード」が機能も充実していて
使いやすくって一番オススメです。
なぜかって・・日本語なんですもの!
他のプラグイン、英語ばっかりなんですよね。。。
自動翻訳という手もありますが、専門用語の直訳は
どう解釈したものか、理解に苦しむことも多いし
間違っていたら大変ですからね。
さらにこの「サイトガード」なら
プラグインの開発元のサイトで、
機能や使い方を詳しく説明してくれているのも嬉しい!
もし、設定で困ることがあったら
ほとんど「よくある質問」に答えが載っていると思います。
https://www.jp-secure.com/
ではプラグインの機能を紹介していきますね。
このプラグインを入れたら、
まず一番に設定してほしい機能はこちら。
ログインページ変更
ログインページのアドレスが変更できるんです。
自分のWordPressのログインアドレスを
見たことありますか?
例えば、私のサイトなら、
https://wp-firststep.com/wp-admin のように
アドレスの後に
「wp-admin」または
「wp-login.php」をつければ
誰でもログイン画面を開くことができます。
適当なIDとパスワードを入れたら
ログインできてしまうかもしれません。
そのため、IDとパスワードは
他人がなかなか思いつかないような
複雑なものを設定しておきましょう、という話だったんですが、
今回のご相談のように、事情で
すぐにパスワードを変更できない方に
オススメの機能なんです・
パスワード・・鍵が変更できないのであれば、
ログイン画面・・入り口を変えてしまいましょう!
■ 設定手順
このSiteGuardプラグインをインストールするだけで、
まず自動的にログインページのアドレスが変わります。
知らずにログアウトすると、次ログインできなくてびっくりしてしまうので
(よくあるトラブルです)
サイトガードプラグインをインストールしたら、
まずは1番にこの設定をしてください。
管理画面の「SiteGuard」メニューから
「ログインページ変更」を開きます。
開いてみると、
https://wp-firststep.com/login_xxxxxx(ランダムな5桁の数字)
というアドレスに自動的に変わっています。
初期設定の数字のまま使ってもいいですし、
好きな文字に書き換えてもいいですね。
このように、アドレスを変えてしまえば
もしIDとパスワードがバレたとしても、
入り口にたどりつきにくくなるんです。
IDやパスワードは、コンピューターで総当たり攻撃ができますが
変更しているログインアドレスまで総当たり攻撃って普通考えにくいです。
この機能のデメリット
デメリットとしては、
ログインアドレスを忘れたら自分も入れなくなります(笑)
そういうご相談も時々ありますので、気をつけてくださいね。
わからなくなったら、WordPressに登録しているメールを確認してください。
サイトガードから「ログインアドレスの変更」というお知らせが届いているはずです。
画像認証でログインしづらくする
次の機能は、「画像認証」です。
この機能も初めから有効になっています。
以下の画像のように、
ログイン画面に、1段ひらがなの入力画面が増えます。
↑この画像では「いりえや」と書いてありますが、
毎回異なる文字が出てきて、その文字通りに入力しないと
ログインできなくなっています。
サイトを乗っ取ろうとする悪い奴は
機械で自動的にアタックしてくるので、
このように、人間が見ないとわからないシステムに弱いんですね。
設定画面では、「ひらがな・英数字・無効」の
3種類から選べるようになっていますが
ひらがなが一番セキュリティが高いですよ。
この機能のデメリット
これを使うデメリットは、
自分でログインするとき、一手間増えることですね。
セキュリティを強化=ちょっと入りにくくなる、という一面がありますね。
ログイン履歴を確認する
このプラグインを入れておくと、
ログインしようとしたら、成功しても失敗しても
履歴を見ることができます。
もし、誰かが何度も不正にアクセスをしてきたら
ログイン名になんと入れたかがわかるので、
もし正しいログイン名だったら、IDがバレていることがわかります。
また、IPアドレスがいつも同じところからだったら
そのアドレスをブロックするなどの対処も取れます。
万が一のときのために、記録を見れるようにしておくと良いですね。
まずはこの3つの機能から、使ってみてください。
他にもたくさんの機能がついていますが、
初期設定のまま使っていて大丈夫です。
念のため以下にご説明しておきますね
気になるところあったらご参照ください。
■管理ページアクセス制限
ログイン画面の防御をさらに強化します。
ログインしている人以外が、ログインページにアクセスしてきたら「404」と
そんなページはありません、とはねのける機能です。
初期設定ではオフです。そこまでしなくてもいいかな?という印象です。
■ログイン詳細エラーメッセージの無効化
ログインに失敗すると、「パスワードが間違っています」などのメッセージで、
何が間違っているのか、敵にわかってしまう場合があります。
それすら教えてやらない設定です。初期設定ではオンです。
■ログインロック
短い間に何度もログインを間違えると、てきとうにパスワードを入れて
なんとか入ろうとしている攻撃だとみなして、そこからのアクセスをロックする機能です。
初期設定ではオンです。
■ログインアラート
ログインすると、メールでお知らせが届きます。
自分がログインしていないときに届いたら要チェックです。
初期設定ではオンです。
■フェールワンス
正しいIDとパスワードを入力しても、ログインできなくする機能です。
その直後にもう一度同じ、正しいIDとパスワードを入れるとログインできます。
万が一IDとパスワードがばれても、まさか2回入れないといけないとは思わないでしょうね。
それが正しくないと諦めさせることができます。ここまでくるとすごい機能です。
オンにしたら日々ログインするのが面倒すぎる気がします。初期設定ではオフです。
■XMLRPC防御
・ピンバック無効
ピンバック、という誰かが自分のブログを紹介してくれたとき、
自分から情報を送る機能があるのですが、今ではほとんど使われておらず、
悪用する輩がいるのでその機能をオフにしようという設定です 初期設定ではオンです。
・XMLRPC無効
スマホからWordPressに画像を投稿するなど、外部からのアクセスを許可する機能ですが
これも悪用する人がいるので、無効にする機能がついています。
ただ、いろんなプラグインに使われているため、オンにすると、何か使えなくなるかもしれません。初期設定ではオフです。
この機能はオフにしておいて、サーバーの海外アクセスを
遮断する機能をオフにしておくのがおすすめです。
■更新通知
WordPress、テーマ、プラグインにそれぞれバージョンアップが出ていたら
メールでお知らせしてくれる機能です。毎日送ってくれるそうです。マメですね。
初期設定ではオンです。
■WAFチューニングサポート
サーバーにある、WAFというファイアーウォール(プログラムを止める機能)を
カスタマイズする機能です。WAFというのをオンにすると、いろいろ不都合が出ることが多いので
オンにするけどこのプラグインだけは使うんだ、みたいな細かくカスタマイズする機能です。
初期設定ではオフです。
■詳細設定
レンタルサーバーではなく、自分でサーバーを用意して、普通でない設定をしている場合に使う機能です。初期設定ではオフです。