WordPressセキュリティを強化したい方へ 設定はこれ1つでOK! プラグインSiteGuardサイトガード

WordPressのセキュリティを
もっと強化したい方へ

こちらの記事で、
”一番簡単にできるセキュリティ強化法”を
お話ししましたが、

あなたのWordPress、大丈夫? 初心者向けWordPressセキュリティ設定

パスワードを複雑にしたいけど
・・他の人が使うので変えられない

すぐにアップデートしたいけど
・・トラブルが不安ですぐにはできない

 

というご相談をいただきましたので
他の対策をご紹介します。

先日の勉強会、Tokyo WordPress MeetUpでは
セキュリティ対策として

・ログイン画面を守る

・アクセスログをとる という方法をおすすめしていました

くわしくはこちらの記事をどうぞ
 ↓ ↓ ↓

Tokyo WordPress Meetup 10月「WordPress を守ろう!セキュリティの最新トレンドと対応事例」

その2点は、いまからご紹介するプラグインを使えば、
簡単に設定できますよ^^

 

セキュリティプラグイン SiteGuardサイトガード

SiteGurard サイトガード、というプラグインです。

いろんなセキュリティプラグインがありますが

私がサイトガードをオススメする、
一番のポイントは・・・

 

日本語でわかりやすいこと!!(笑)

他のプラグイン、英語ばっかりなんですよね。

プラグインの開発元のサイトで、
機能や使い方を詳しく説明してくれているのもとっても助かります。

設定で困ることがあっても、
だいたいは「よくある質問」に答えが載っていますよ。
https://www.jp-secure.com/

このプラグインを入れたら、
まずは一番に設定してほしい機能はこちら。

ログインページ変更

ログインページのアドレスが変更できるんです。

自分のWordPressのログインアドレスを
見たことありますか?

例えば、私のサイトなら、
https://wp-firststep.com/wp-admin  のように

アドレスの後に
「wp-admin」または
「wp-login.php」をつければ
誰でもログイン画面を開くことができます。

誰でも開けるので、適当なIDとパスワードを入れたら
ログインできてしまうかもしれません。

そのため、IDとパスワードは
他人がなかなか思いつかないような
複雑なものを設定しておきましょう、とオススメしていました。

ですが、事情でパスワードを変更できない方は
どうしたらいいのでしょうか?

できないのであれば、
ログイン画面・・入り口を隠してしまいましょう!

ということなんですね^^

 

■ 設定手順

手順は簡単でして、
このSiteGuardプラグインをインストールするだけで、
自動的にログインページのアドレスが変わります。

自動的に変わっているので、
プラグインをインストールしたら、
まずは1番にこちらを開いてアドレスを確認してください。

管理画面の「SiteGuard」メニューから
「ログインページ変更」を開きます。

開いてみると、

https://wp-firststep.com/login_xxxxxx(ランダムな5桁の数字)

というアドレスに自動的に変わっています。

そのまま使ってもいいですし、
好きな文字に書き換えてもいいですね。

このように、アドレスを変えてしまえば
もしIDとパスワードが簡単なものでも、
そもそも誰も入り口にたどり着けなくなるんです。

 

この機能のデメリット

デメリットとしては、
ログインアドレスを忘れたら自分も入れなくなります(笑)

(そういうご相談も時々ありますので、気をつけてくださいね。)

 

画像認証でログインしづらくする

次の機能は、「画像認証」です。

この機能も初めから有効になっています。

以下の画像のように、
ログイン画面に、1段ひらがなの入力画面が増えます。

↑この画像では「いりえや」と書いてありますが、
毎回異なる文字が出てきて、その文字通りに入力しないと
ログインできなくなっています。

サイトを乗っ取ろうとする悪い奴は
機械で自動的にアタックしてくるので、
このように、人間が見ないとわからないシステムに弱いんですね。

設定画面では、「ひらがな・英数字・無効」の
3種類から選べるようになっていますが
ひらがなが一番セキュリティが高いですよ。

 

この機能のデメリット

これを使うデメリットは、
自分でログインするとき、一手間増えることですね。

セキュリティを強化=ちょっと入りにくくなる、という一面がありますね。

ログイン履歴を確認する

このプラグインを入れておくと、
ログインしようとしたら、成功しても失敗しても
履歴を見ることができます。

もし、誰かが何度も不正にアクセスをしてきたら
ログイン名になんと入れたかがわかるので、
もし正しいログイン名だったら、IDがバレていることがわかります。

また、IPアドレスがいつも同じところからだったら
そのアドレスをブロックするなどの対処も取れます。

万が一のときのために、記録を見れるようにしておくと良いですね。

まずはこの3つの機能から、使ってみてください。

他にもたくさんの機能がついていますが、
初期設定のまま使っていて大丈夫です。

念のためご説明しておきますね
興味があったら読んで見てください。

■管理ページアクセス制限 
ログイン画面の防御をさらに強化します。
ログインしている人以外が、ログインページにアクセスしてきたら「404」と
そんなページはありません、とはねのける機能です。
初期設定ではオフです。そこまでしなくてもいいかな?という印象です。

■ログイン詳細エラーメッセージの無効化
ログインに失敗すると、「パスワードが間違っています」などのメッセージで、
何が間違っているのか、敵にわかってしまう場合があります。
それすら教えてやらない設定です。初期設定ではオンです。

■ログインロック
短い間に何度もログインを間違えると、てきとうにパスワードを入れて
なんとか入ろうとしている攻撃だとみなして、そこからのアクセスをロックする機能です。
初期設定ではオンです。

■ログインアラート
ログインすると、メールでお知らせが届きます。
自分がログインしていないときに届いたら要チェックです。
初期設定ではオンです。

■フェールワンス
正しいIDとパスワードを入力しても、ログインできなくする機能です。
その直後にもう一度同じ、正しいIDとパスワードを入れるとログインできます。
万が一IDとパスワードがばれても、まさか2回入れないといけないとは思わないでしょうね。
それが正しくないと諦めさせることができます。ここまでくるとすごい機能です。
オンにしたら日々ログインするのが面倒すぎる気がします。初期設定ではオフです。

■XMLRPC防御
・ピンバック無効
ピンバック、という誰かが自分のブログを紹介してくれたとき、
自分から情報を送る機能があるのですが、今ではほとんど使われておらず、
悪用する輩がいるのでその機能をオフにしようという設定です 初期設定ではオンです。

・XMLRPC無効
スマホからWordPressに画像を投稿するなど、外部からのアクセスを許可する機能ですが
これも悪用する人がいるので、無効にする機能がついています。
ただ、いろんなプラグインに使われているため、オンにすると、何か使えなくなるかもしれません。初期設定ではオフです。

この機能はオフにしておいて、サーバーの海外アクセスを
遮断する機能をオフにしておくのがおすすめです。

■更新通知
WordPress、テーマ、プラグインにそれぞれバージョンアップが出ていたら
メールでお知らせしてくれる機能です。毎日送ってくれるそうです。マメですね。
初期設定ではオンです。

■WAFチューニングサポート
サーバーにある、WAFというファイアーウォール(プログラムを止める機能)を
カスタマイズする機能です。WAFというのをオンにすると、いろいろ不都合が出ることが多いので
オンにするけどこのプラグインだけは使うんだ、みたいな細かくカスタマイズする機能です。
初期設定ではオフです。

■詳細設定
レンタルサーバーではなく、自分でサーバーを用意して、普通でない設定をしている場合に使う機能です。初期設定ではオフです。

 

 

Follow me!

村重敦子

「猫でもわかる!」くらい簡単にわかりやすく、WordPressの使い方をサポートする、WordPressソムリエです。デザインを学んだ後、なぜかレストランでワインサービスに従事。絵も描けるワインソムリエでした。その後大手通信会社に勤めIT・Webの各種サポートを経験。ソムリエもWebも常に「専門知識をお客様に合わせてわかりやすくご提案し、期待以上のサービスをする」ことをモットーとしています。テクニカルサポートの経験は、通算1,100人以上。現在はWebデザイン・ディレクターをしながら、ブログ集客をしたい方へWordPressの制作、使い方のレクチャーなどを行っています。