不正ログインにはこれで防御『SiteGuard WP Plugin』の設定方法
『SiteGuard WP Plugin』は、簡単な設定をするだけでセキュリティーを向上させてくれる無料プラグインです。
日本の会社が無償提供してくれているプラグインで、すべて日本語表記なので分かりやすく次の攻撃からサイトを守ってくれます。
・不正ログイン
・管理ページ(wp-admin)への不正アクセス防止
・スパムコメントの防止
です。
目次
1 SiteGuardのインストール
2 SiteGuardの機能と設定
2-1 ダッシュボード
2-2 管理ページアクセス制限
2-3 ログインページ変更
2-3-2 ログインページURLが分からなくなった時の対処法
2-4 画像認証
2-5 ログイン詳細エラーメッセージの無効化
2-6 ログインロック
2-7 ログインアラート
2-8 フェールワンス
2-9 XMLRPC防御
2-10 更新通知
2-11 WAFチューニングサポート
2-12 詳細設定
2-13 ログイン履歴
3 セキュリティー対策プラグインの「Wordfence」との併用について
1 SiteGuardのインストール
ダッシュボード > プラグイン > 新規追加 をクリックして、画面右上の検索欄で『SiteGuard WP Plugin』と入力してプラグインを検索します。
『SiteGuard WP Plugin』と表記されていることを確認して、『今すぐインストール』をクリックします。
インストールが完了したら、『プラグインを有効化』をクリックします。
『プラグインを有効化しました』のコメントバーの上に『ログインページURLが変更されました』と表示されました。
早速、SiteGuardの管理画面に入って、セキュリティー機能の確認と設定を行いましょう。
2 SiteGuardの機能と設定
ダッシュボードに SiteGuard が追加されています。
ダッシュボード
管理ページアクセス制限
ログインページ変更
ログインページURLが分からなくなった時の対処法
画像認証
ログイン詳細エラーメッセージの無効化
ログインロック
ログインアラート
フェールワンス
XMLRPC防御
更新通知
WAFチューニングサポート
詳細設定
ログイン履歴
2-1 ダッシュボード
ダッシュボードをクリックすると、機能一覧と有効無効の設定状態が確認できます。
2-2 管理ページアクセス制限
管理ページアクセス制限は、初期設定でOFFになっています。
管理ページとは、WordPressでサイトを作るためのページでログイン後に行えるすべての機能と思ってください。
注釈にあるように、WordPressにログインしているIPアドレス以外は、wp-adminのディレクトリ以下に納められているファイルに接続すると「404(Not Found)」を表示する機能です。
要するに、ログインしないとWordPressの操作ができないようになる。ということです。
当たり前のような気もしますが、見方を変えればプログラムのバグなどを利用してログインしなくても操作が出来てしまう可能性があるので、その危険性を排除しておきましょう ということです。
初期設定は「OFF」ですが、「ON」にしておきましょう。
なお、この機能を使用するには、「mod_rewriteがサーバーにロードされている必要があります。」と書いてあります。
SiteGuardを有効化した時に、「ログインページURLが変更されました。」と表示されたなら、サーバーにmod_rewriteがロードされています。
2-3 ログインページの変更
WordPressは、サーバーにインストールして使用するため、ログインするも記事を書くのもWeb上で行います。
そのため、サイトのログイン画面に誰でもアクセスできます。しかも、ログイン画面のアドレスは、
http://ドメイン/wp-login.php
と決まっているので、ログイン名とパスワードが分かればログインできてしまいます。
SiteGuardのログインページ変更は、ログイン用アドレスの「wp-login.php」の部分を任意のアドレスに書き換えることにより、第三者がログインページにたどり着きにくくするものです。
ログインページのアドレスを変えるだけなので、侵入に対する強度は変わりません。が、しかし、不正ログインを試みる輩にとっては、推測不可能なログイン用アドレスを探し出した上で、更にログインIDとパスワードを突破しなければならないため、わざわざログイン用アドレスを探し出す可能性は低くなります。
ログイン履歴で紹介する私のサイトへの侵入の試みの履歴も、ログインページを変更したらピタっと止まりました。(別の方法で侵入を試みてきますが・・・(笑))
SiteGuardは、有効化するとログインページのアドレスが、
「wp-login.php」から「login_5桁の乱数字」に書き換えられます。
デフォルトの5桁の乱数字のままでも、又は自由に書き換えて最後に『変更を保存』をクリックします。
当たり前ですが、書き換えた新しいログインページURLは、あなたしか知りません。
忘れないようにメモしておきましょう。
2-3-1 ログインページURLが分からなくなった時の対処法
忘れないアドレスにしたつもりでも忘れてしまったり、メモした紙を紛失してしまったりすることがあるかもしれません。
ログインページURLが分からないと二度とサイトにログインできません。
それでは、困ってしまうので、万が一に備えて対処方法を書いておきます。
難しくありません。すごく単純な方法ですから、頭の片隅に入れておいてください。
「SiteGuard」のディレクトリー名を一時的に書き換える という方法です。
FPTツールを使用して wp-content > plugins に保存されている「siteguard」のディレクトリー名を一時的に書き換えます。
これで「SiteGuard」は無効化されるので、通常のログインページURLである
http://ドメイン/wp-login.php
に接続すればログインページが表示されサイトにログインすることができます。
一時的に書き換えた「siteguard」のディレクトリー名を元に戻し、再度「SiteGuard」を有効化してログインページ変更でURLアドレスを確認します。
2-4 画像認証
画像認証とは、機械で読み取ることができない文字や数字を入力させる項目を追加する機能です。
不正ログインを試みる輩の手口は、プログラムでログインIDとパスワードを手あたり次第入力してログインを試みる方法で、「ブルートフォース攻撃」「リスト攻撃」などと呼ばれる手法です。
以前、芸能人のブログだかフェイスブックに不正ログインして逮捕された人がいましたが、その人は誕生日や芸能人の本名などからログインIDとパスワードを推測して手入力で不正ログインを試していたそうです。
そのような手法は稀有な方法で、プログラムで不正ログインを自動処理化しています。
ですから、ログインページやコメントページ欄に画像認証を追加する方法は大変有効な対策の一つです。
しかも、「SiteGuard」の画像認証は、「ひらがな」を指定することができます。不正ログインを試みる輩には、日本語を理解できない人も多くいるので「ひらがな」を選択することを勧めます。
2-5 ログイン詳細エラーメッセージの無効化
WordPressは、ユーザー名やパスワードの入力間違いによりログインができなかった場合、間違えた項目が何かを表示してくれます。
使用者にとっては有り難い機能ですが、不正ログインを試みる輩から見ると正しく入力されている項目が分かってしまうため、セキュリティー上良くありません。
そこで、何の項目が間違いであるか表示せず、すべて共通のエラーメッセージを表示する機能です。
デフォルトのまま「ON」にしておきましょう。
2-6 ログインロック
ログインする時、指定期間の間に、指定回数を間違えると接続元IPからの接続をブロックする機能です。
結論から言うと、IPアドレスも偽装され毎回異なるIPアドレスでアタックしてきた場合は、全く無意味ですが、折角使える機能なのでデフォルトのまま有効化しておきましょう。
2-7 ログインアラート
WordPressにログインがあった時に、ログインユーザーにメールを送信する機能です。
ログインした心当たりがないのに、メールが届いたら不正ログインの疑いがあります。
複数人でWordPressを運用する場合は、メールを管理者のみにすることもできます。
不正ログインにいち早く気付くためにも、ONにしておきましょう。
2-8 フェールワンス
正しいログイン情報を入力しても「ログイン失敗」が返されます。再度、正しいログイン情報を入力するとログインできるようになる機能です。
「ブルートフォース攻撃」や「リスト攻撃」は、推測したユーザーIDにパスワードを手あたり次第に試してきます。同じパスワードは2回連続して試さないことが多いので、万が一、ログイン情報が一致しても侵入される可能性を減らすことができます。
非常に有効な対策なのですが、ログイン入力を毎回2回行うのも手間なので、第2パスワードを設定するプラグインを併用することでセキュリティー機能を高めフェールワンスは「OFF」にしています。
2-9 XMLRPC防御
XMLRPCは、簡単に言うとWordPressにログインしなくてもメールやプラグインを使ってスマホから記事を投稿できるようにするものです。
PingbackもこのXMLRPCを使用しています。
ログインページURLアドレスを変更すれば、ログインページから不正ログインの試みはほとんど受けなくなりますが、XMLRPCを利用した不正ログインの試みを防ぐことはできません。
確実にXMLRPCを利用した攻撃から守るためには、XMLRPCを使えなくするのが一番手っ取り早い方法なので、私は「XMLRPC無効化」を選択しています。
注釈にあるように、XMLRPCを無効化するとメールやスマホから投稿ができなくなったり、XMLRPC機能を使用しているプラグインが使用できなくなります。また、Pingback機能も無効化されます。
個人ブログの場合は、旅先などから投稿する場合もあるかもしれませんが、会社やお店のホームページなどの記事をメールやスマホから書く必要性はないと言えるでしょうが、Pingback機能が使えなくなるのは悩ましいところです。
セキュリティーを上げるか利便性を取るかは考え方次第ですが、SNSなどを併用すればサイトを知って貰う機会を得ることができるので、私はセキュリティーを優先させています。
2-10 更新通知
WordPress、プラグイン、テーマが更新された時に、管理者にメールで通知してくれる機能です。
WordPressにログインすれば更新通知が表示されるので不要と感じるかもしれませんが、頻繁にログインしない場合は便利な機能です。
セキュリティーの基本は、常に最新のバージョンにしておくことです。更新忘れがないように「ON」にしておきましょう。
2-11 WAFチューニングサポート
有料のサービスです。
サイト運営上、更にセキュリティーレベルを上げる必要がある場合は、相談してみるのもいいかもしれません。
「SiteGuard WP Plugin」の提供企業は、JP-Secure(https://www.jp-secure.com)です。
SiteGuardの説明は以上です。
更にセキュリティーレベルを上がるために「」の説明をします。
2-12 詳細設定
Webサーバーの前段にプロキシサーバーやロードバランサーが存在しているため、リモートアドレスでIPアドレスが取得できない場合に「X-Forwarded-For」からIPアドレスを取得するための設定です。
2-13 ログイン履歴
インストールしたばかりなのでログイン履歴は空欄になっています。
ちょっと古い記録ですが、写真のログイン履歴は、私が運営している別のサイトの不正ログインをしようとしている履歴です。
注釈にあるように、履歴は10,000件保存されているのですが、そのうち約9,800件はこのIPアドレスに関連するアドレスからの履歴になってました。なかなかしつこい人ですよね(笑)
実は、私の操作ミスでSiteGuardのログインページ変更をOFFにした結果、このような攻撃を受ける羽目になりました。(ONにしてあると思っていたので履歴のチェックもしていなかったのも反省点です。)
SiteGuard以外にもセキュリティー対策をしているので、侵入されることはなかったのですが、攻撃を受ける隙を作らないようにするのが大切なことだと思います。
3 セキュリティー対策プラグイン『Wordfence』との併用について
先に紹介したセキュリティー対策プラグインで初心にも使いやすい『Wordfence』と重複する項目があります。
併用して使用する場合は
・管理ページアクセス制限
・ログインページ変更
・画像認証
・XMLRPC防御
の4項目のみ有効にすることで事足りるかと思います。
また、レンタルサーバーの仕様なのか他のプラグインの影響なのか原因が分からなかったのですが、「ログインページ変更」機能が正常に機能しないことがありました。
他のセキュリティー系プラグインと併用する場合は、サイトの挙動に注意し、異常を認めた場合には、重複する機能を停止したりどちらかのプラグインを停止したりするなどして、サイト全体のセキュリティー機能が低下しないように気を付けてください。
不正ログインを試みようとする輩は、世界中に沢山います。
アメリカの政府機関のサイトにも侵入してしまう凄腕のハッカーに対抗することは、なかなか難しいかもしれませんが、基本的な対策をしっかり行えば侵入される恐れはかなり減らすことができます。
例えば、ログイン名をadminにするのは論外ですが、サイト名にしたり、投稿者名を表示しないようにするだけでも侵入されるリスクは激減します。
いろいろな方法を紹介していきますので、参考にしてください。
「SiteGuard WP Plugin」の設定方法は以上です。
この記事があなたのお役に立てたら幸いです。
またこの記事がお役に立てれたならhatena・Facebook・Twitterでシェアして頂けると励みになります。
