はじめに
WordPressの初期状態はセキュリティ的に強いとは言えない。
そこで、有名なセキュリティ対策プラグインSiteGuard WP Pluginを導入、設定する方法について解説する。
Site Guard(サイトガード)とは
WordPressにインストールするだけでセキュリティを向上させることができるプラグイン。
主に不正ログインに対するセキュリティの向上が期待できる。
インストールと設定
・プラグインの追加画面で「siteguard wp」と検索
・インストールして有効化すると自動的にログインページのURLが変更される
・SiteGuardを有効化すると、基本機能が設定されるため、それだけでセキュリティが強化される。
基本機能
ダッシュボードから設定されている基本機能について確認することができる。
カスタマイズ
基本設定から変更したい場合は下記を参考に設定する。
管理ページアクセス制限(初期状態OFF)
管理ページをIPアドレスにより制限する機能
指定以外のIPアドレスからアクセス時、404ページを表示して不正ログインを防ぐことができる
ログインページ変更(初期状態ON)
通常のログインページ「https://サイトURL/wp-login」を
「https://サイトURL/login_xxxxx(5桁の乱数)」に変更する機能
ログインページのURLを忘れてしまうと、ログインできなくなってしまうため必ずURLをメモやスクショしておくこと。(ログインにはFTPツール等でプラグインの停止が必要)
オプションの「管理者ページからログインページへリダイレクトしない」をチェックすると
/wp-adminでのログイン画面移動を無効にできる。(設定推奨)
画像認証(初期状態ON)
ログイン、コメントフォームに画像認証を設ける機能。
ひらがな、英数字を選ぶことができる。(推奨:ひらがな設定)
ログイン詳細エラーメッセージ(初期状態ON)
ログイン失敗時のエラーメッセージを曖昧にする機能。
ログインロック(初期状態ON)
ログイン試行を繰り返す端末のIPアドレスに対して、ログインをロックする機能。
値は必要に応じて変更する。(画像は初期状態)
ログインアラート(初期状態ON)
WordPressにログインがあるたびに管理者にメールが送信される機能。
メール通知が不要ならOFFとすれば良い。
フェールワンス(初期状態OFF)
正しいログインができても、一度ログインに失敗する機能。
少しでもセキュリティを強化した場合はONにする。
XMLRPC防御(初期状態ON)
ピンバック無効化(初期状態)、またはXMLRPC無効化をする機能。
・ピンバック:リンク元がリンク先に通知する機能
・XMLRPC:xmlrpc.php
ユーザ名漏えい防御(初期状態OFF)
“/?author=数字”のアクセスによるユーザ名の漏えいを防止する機能。
使用中のテーマによっては、ページが見つからない(404エラー)と表示される場合がある。
更新通知(初期状態ON)
WordPress本体、プラグイン、テーマの新バージョンがリリースされた時に管理者にメール通知する機能。
WAFチューニングサポート(初期状態OFF)
WAF(Web Application FireWall)の除外設定をする機能。
詳細設定
IPアドレスの取得方法を設定する機能。
通常、設定の必要は無い。
ログイン履歴
ログイン履歴を一覧で閲覧できる機能。
通常、何もする必要は無い。
コメント