【セキュリティ対策】SiteGuard WP Pluginの設定方法

ワードプレスのセキュリティ対策プラグイン・SiteGuard WP Pluginの設定方法について解説します。

大量のログイン試行が発覚

最近、運営しているいくつかのワードプレスサイトにおいて、大量のログイン試行がされていることが判明しました。

Limit Login Attempts Reloadedというプラグインを入れていたので、一定回数ログインに失敗すると一定時間ロックされて上記のようなメールの通知が来るのですが、時間が経つと再びログイン試行が始まるといった感じで、拉致があかないので別のプラグインを入れて対応することにしました。

今回のこのログインが試行されるのは、ログイン画面のURLがデフォルトのままで、ログイン画面が誰にでも分かる状態になっていることなどが原因と考えられます。

なので、これらについて対応できるセキュリティのプラグインを探したところ、SiteGuard WP Pluginというプラグインで対応できそうだったのでこちらを利用することにしました。

SiteGuard WP Pluginは、EGセキュアソリューションズという日本のセキュリティ専門企業が開発したプラグインで、ワードプレスの基本的なセキュリティ対策が行えます。

以下、SiteGuard WP Pluginの設定方法について紹介しています。

SiteGuard WP Pluginの設定方法

インストールと有効化

まずは、SiteGuard WP Pluginをインストールと有効化します。

SiteGuard WP Plugin 設定方法

有効化した時点で、ログインページのURLが自動的に変更されるので注意しましょう。

SiteGuard WP Plugin 設定方法

ログインページのURLはメールでも通知があります。

SiteGuard WP Plugin 設定方法

※ログインページのURLは後から変更できます。

各項目の設定

管理画面の左側のメニューのSiteGuard をクリックします。

SiteGuard WP Plugin 設定方法

ダッシュボードが開くので、それぞれの項目について設定していきます。

SiteGuard WP Plugin 設定方法

すべてデフォルトのままでも問題はないと思われますが、必要に応じて、各項目の微調整することをおすすめします。

以下、各項目の機能と私自身の設定方法を紹介しています。

管理ページアクセス制限

管理ページアクセス制限はデフォルト(OFF)のままにしています。

SiteGuard WP Plugin 設定方法

管理ページをIPアドレスで制限したい場合はONにします。

ログインページ変更

ログインページ変更はデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

変更後のログインページ名は初期値で「login_<5桁の乱数>」が設定されるので、推測されにくいものに変更しておくことをおすすめします。

また、「管理者ページからのログインページへリダイレクトしない」はチェックを入れないと、管理者ページに未ログイン状態でアクセスがあった場合、変更後のログインページにリダイレクトされてしまうためチェックうを入れておいたほうがよいでしょう。

画像認証

画像認証はデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

ONにしておくと、ログインやコメント時に画像認証による文字の入力が必要となり、コンピュータによる不正な攻撃を防ぐことができます。

ひらがなと英数字が選択できますが、ひらがなのほうが海外からの攻撃に対して効果があるためひらがながおすすめです。

ログイン詳細エラーメッセージの無効化

ログイン詳細エラーメッセージの無効化はデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

ONにすると、ログインに失敗したときに、ユーザー名とパスワードのどちらが間違っているかを分からなくするため、不正アクセスに対して効果があります。

ログインロック

ログインロックはデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

ONにしているとログインに一定期間、一定回数失敗した場合、接続元のIPアドレスを一定時間ブロックできます。

期間、回数、ロック時間はデフォルトのままでもよいですが、より厳しめの設定に変更しておいてもよいでしょう。

ログインアラート

ログインアラートはデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

ONにしておくと新しくログインがあった場合メールで通知してくれます。

フェールワンス

フェールワンスはデフォルト(OFF)のままにしています。

SiteGuard WP Plugin 設定方法

フェールワンスは正しいログイン情報を入力しログインが成功した場合でも、あえて1回失敗させることで、攻撃者にログインが失敗したと勘違いさせることで攻撃をかわすという機能です。

ONにすると毎回ログインを2回することになり煩わしくなるのでOFFのままでよいと思います。

XMLRPC防御

XMLRPC防御はデフォルト(ON)のままにしています。

SiteGuard WP Plugin 設定方法

ONにしておくと、XMLRPCやピンバック機能を無効化してくれます。

XMLRPC自体を無効化する場合は、現在使用中のプラグインなどに影響が出る場合があるので注意してください。

ユーザー名漏えい防御

ユーザー名漏えい防御はデフォルト(OFF)からONに変更しています。

SiteGuard WP Plugin 設定方法

OFFのままだと、“/?author=数字”のアクセスを許可し、ユーザー名の漏えいにつながってしまいます。

ONにすると、”/?author=数字”のアクセスが防止され、トップページに転送されるようになります。

更新通知

更新通知はデフォルト(ON)からOFFに変更しています。

SiteGuard WP Plugin 設定方法

ONにしておくと、ワードプレス、プラグイン、テーマの更新があったときにメールで通知されるようになります。

頻繁にメールで通知が来るとやや煩わしく感じるため私はOFFにしてあります。

WAFチューニングサポート

WAFチューニングサポートはデフォルト(OFF)のままにしています。

SiteGuard WP Plugin 設定方法

サーバーにWAF製品がインストールされている環境が対象なので、デフォルトのままで大丈夫だと思います。

ログイン履歴

ログイン履歴からは、ログインの日時、結果、ログイン名、IPアドレス、タイプが一覧で確認できるようになっています。

SiteGuard WP Plugin 設定方法

おわりに

以上、SiteGuard WP Pluginの設定方法についての解説でした。

このSiteGuard WP Pluginだけで、最低限のワードプレスのセキュリティ対策が行えるのでセキュリティに不安がある人は導入をおすすめします。