サイトのセキュリティー対策を強化!『SiteGuard WP Plugin』の設定方法
サイト運営を行い、アクセスが集まってきたり、投稿記事などにボリュームがでてくると一つのサイトがあなたの資産へと変わっていきます。
WordPressを扱って、ホームページやサイト、ブログを構築する個人、会社、企業が年々増えてきている中でWordPressを狙った悪質な攻撃も増えてきています。
一瞬にしてデータを失ってしまったり、サイトの管理画面にログインできなくなってしまったり、情報を盗まれてしまったり・・・
大きな会社・企業にとっての損害ははかりしれない可能性となるかもしれません。
しっかりとブロックをして守る体制を整えておきたいものですね。
そのために、サイトのセキュリティー対策を強化させておくことが大切です。
この記事では、WordPressでWeb構築を行っている人へのセキュリティー対策として、『SiteGuard WP Plugin』というプラグインの設定方法を解説していきます。
※レンタルサーバーでロリポップをお使いの方は、2015年2月以降、簡単インストール後にインストール済みとなっています。
目次
『SiteGuard WP Plugin』をインストールする
管理画面からインストールする場合
管理画面のメニューからプラグイン → 新規追加をクリックしましょう。
検索窓に『SiteGuard WP Plugin』と入力して、キーボードのEnterで検索が開始されます。
SiteGuard WP Pluginを確認して今すぐインストールをクリックしましょう。
自動的にプラグインのインストールが始まります。インストールが完了してそのまま使用する場合はプラグインを有効化をクリックして完了です。
直接ダウンロードする場合
SiteGuard WP Pluginを直接ダウンロードする場合は左側のDOWNLOADボタンをクリックしてダウンロードすることができます。
細かい解説は
を参考にしてください。
『SiteGuard WP Plugin』の設定方法
有効化すると、管理画面に『SiteGuard』というメニューが追加されています。そこから設定を行っていくことになります。
まずは、SiteGuard ⇒ ダッシュボード とクリックしていきましょう。
開いた画面に表示されているのが設定状況の一覧です。左側についているチェックマークが現在使用している機能となります。
その下に表示されているのが、あなたのサイトのログイン履歴です。例えば、この履歴に不正なアクセスがあった場合は表示されるようになります。
ログイン名などは初期に設定したまま変更しないでいる人が多いですが、一番狙われやすい対象となります。
ユーザー名が合っていても、あなたがログインしていない日付や時間、IPアドレスの違いがないかなどチェックしておいた方が良いでしょう。
管理ページアクセス制限の設定方法
有効/無効:この機能をONにしておくと、きちんとログインを経由してからでないと管理画面へ侵入できないようにします。
ログインをせずに管理画面のURLへ直接アクセスをしても「404エラー」の画面表示となります。
この機能は非常に有効的ではありますが、個人的には投稿編集の際に404エラーばかり表示されて扱いにくいのでOFFにしています。
除外パス:管理ページ(××××××/wp-admin/以降)の以降のURLを入力することで、入力したURLのページを除外してアクセスできるようにします。
変更した場合は必ず変更を保存をクリックして完了です。
ログインページ変更
ログインページのURLを変更することができます。変更することで、ツールなどからの不正ログインなどの攻撃を受けにくくすることができます。
注:変更した場合は、今後は変更したURLがログイン画面となるのでBookmark(お気に入り)登録も変更させておきましょう。
画像認証
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページの各ページに画像認証を表示することができます。
ログインページだと、下記の画像のように表示されます。
ログイン時には面倒かもしれませんが、手動入力により不正ログインだけでなくコメントスパムからの攻撃も受けにくくすることができます。
ログイン詳細エラーメッセージの無効化
通常時はログイン時に、ユーザー名、パスワード、画像認証のいずれかを間違えた場合に、どれを間違えたのかを表示してもらえます。
この機能をONにしておくことで、ユーザー名、パスワード、画像認証のどれを間違えてもエラーメッセージが同じ内容となるので特定されにくくなります。
ログインロック
同じユーザーから繰り返しログインを試みられた際に、そのユーザーからのログインを一時的にロックすることができます。
指定期間中に指定回数に達したユーザーを指定時間ブロックします。
ツールなどによる攻撃は、機械的に様々なパターンで何度もログインを試みようとしてきます。それらを防ぐには便利な機能です。
ログインアラート
あなたのサイトにログインがあった場合に、管理者のメールアドレスへログイン報告の通知がされるようになります。メール本文も自由に変更可能です。
フェールワンス
正しいログイン情報を入力しても、必ず1回はエラーが表示されるようになります。5秒以降、60秒以内に再度正しいログイン情報を入力するとログインできるようになります。
これをONにしておくことで、ログイン情報を錯乱させる効果があります。個人的には必要ないのでOFFにしています。
ピンバック無効化
ピンバックとは、あなたのサイトや記事のリンク(URL)が他のサイトに貼られた時に通知してもらえる機能です。
一見嬉しいことなのですが、このピンバックという機能を悪用し、毎秒数百件ものピンバック通知を送りつけてサーバーをパンク(ダウン)させてしまうというDDoS攻撃というものが存在します。
この機能をONにしてピンバックを無効化にしておくことでDDoS攻撃を防ぐことができます。
更新通知
WordPressの更新、プラグインの更新、テーマの更新があった際に管理者のメールアドレスへ通知されるようになります。
それぞれを最新のバージョンの状態に保っておくことが、セキュリティを万全にしておく基本となります。
WAFチューニングサポート
WAFとは、ウェブアプリケーションファイアーウォールの略で、サイトへ向けた不正なアクセスや侵入、情報漏洩を防ぐための機能です。
WAFチューニングサポートの機能を使用する場合には、『SiteGuard WP Plugin』のプラグインをを製作しているJP-Secure社の『SiteGuard Lite』をインストールしている必要があります。
主要なレンタルサーバーでは、このWAF機能が標準装備されているので使用する必要はないと思います。
おわりに
サイト運営側とサイバー攻撃側は、時代の流れと共に常にいたちごっこではあります。
ですが、ノーガードでいるよりはきちんとしたセキュリティー対策を講じて、バージョンやプラグイン、テーマなどのアップデートを行い最新の状態に保っておくことでよほどのことではない限り防ぐことはできます。
サイトのアクセスが増えれば増えるほど重要度は増してきますので、あなた自身を守る為にも取り入れておきましょう。
[記事公開日]2015/03/06
[最終更新日]2016/07/18
最新情報、定期購読にはFacebookページが便利です。
コメント
この記事へのトラックバックはありません。
この記事へのコメントはありません。