セキュリティ   ※当サイトのコンテンツには広告が含まれる場合があります。

SiteGuard WP Plugin 設定方法【初心者必須のセキュリティ対策】

2021-08-02 yume-tada

SiteGuard WP Plugin 設定方法【初心者必須のセキュリティ対策】

Warning: Attempt to read property "title" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 113

Warning: Attempt to read property "description" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 119

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

ブログサイト立ち上げたいけど、セキュリティ対策って必要?

Worried
お悩みさん

WordPressのログインパスワードって大丈夫なんだろうか?

findout
お調べさん

そんな悩みを解決します!

ゆめただのり
ゆめただ

WordPressのログインページは、攻撃者から狙われやすいって知っていますか?

何も対策しないと、サイトが乗っ取られ改ざんされてしまう危険性があります。

本記事では、WordPressログインセキュリティの具体的対策をまとめています!

本記事を読んでわかるコト

  1. WordPRessログインセキュリティの必要性
  2. 対策しないとどうなってしまうか
  3. 具体的な対策方法
  4. SiteGuardプラグイン導入方法と設定例【図解】

この記事を書いた人【ゆめただ】

この記事を書いた人
track?id=8172&type=classic&u=7f6ff555 a273 4458 88f4 eb6a142888bd

なぜログインセキュリティが必要なのか?

ログインセキュリティ対策が必要な理由

 WordPressは世界中で使われている、オープンソースのCMSです。

 ユーザーも多く利便性が高い反面、狙われやすい理由があります。

 それは、「外部から管理画面にアクセスが可能」なことです。

 この管理画面にログインできてしまえば、サイトの管理全てを乗っ取ることができるわけです。

 WordPressの管理画面にログインするときのセキュリティ対策が必要なのです。

Secure login

ゆめただのり
ゆめただ

サイトを公開する前に、

WordPressのログインセキュリティ対策をしましょう!

ぜひ参考にしてください。

対策しないとどうなるか?

次のリスクが高まり、結果自サイトを乗っ取られてしまう可能性が高まります。

対策しない場合のリスク

  • 不正アクセスされてしまう可能性がある
  • サイトが改ざんされてしまう可能性がある
  • 個人情報が漏洩してしまう可能性がある

不正アクセス

 自サイトに勝手にログインされて不正にアクセスされてしまいます。 サイト管理者がのっとられてしまうため、非常に危険です。

サイト改ざん

 サイトの中身のコンテンツを、勝手に改ざんされてしまいます。 知らない画像を貼り付けられたり、もう何をやられるか予測不可能です。

個人情報の漏洩

 サイト管理者のログインやパスワードなど、サイト内で管理者しか見れない情報がある場合、中身が漏洩する危険性があります。

150万件改ざんされた事例
150万件改ざんされた事例
WordPressのログインセキュリティが必要な理由はコレ
favicons?domain=www.ipa.go https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
Cyber attack

ログインセキュリティ対策に必須!SiteGuard WPプラグインとは

 SiteGuard WP は、ログインセキュリティに特化した無料のプラグインです。

 インストール数実績も多導入必須のプラグインと言えます

 「JP-Secure Inc.」という、セキュリティ専門会社が開発しています。

 

SiteGuard Plugin

これだけ豊富!SiteGuard WPプラグインの機能

 これだけ機能が豊富です! 特におすすめの機能を、黄色アンダーラインしています。

機能説明
 管理ページアクセス制限ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
 ログインページ変更 ★ログインページ名を変更します。
 画像認証 ★ログインページ、コメント投稿に画像認証を追加します。
 ログイン詳細エラーメッセージの無効化ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
 ログインロック ★ログイン失敗を繰り返す接続元を一定期間ロックします。
 ログインアラートログインがあったことを、メールで通知します。
 フェールワンス ★正しい入力を行っても、ログインを一回失敗します。
 XMLRPC防御XMLRPCの悪用を防ぎます。
 ユーザー名漏えい防御ユーザー名の漏えいを防ぎます。
 更新通知WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
 WAFチューニングサポートWAF (SiteGuard Lite)の除外ルールを作成します。
SiteGUard WP プラグイン機能一覧(プラグイン管理画面より抜粋)

ログインページ変更

WordPressのデフォルトログインページは、「サイト名/wp-login.php」になりますが、

これを、ランダムな数字を含んだログインページに自動で変更してくれます。

ログインページが類推されることを防ぎます。

画像認証

ログイン時に、パスワードに加え、画像のひらがな認証機能が追加されます。

SiteGuard login

ログインロック

 指定回数連続でログインを失敗すると、ログインを一定時間ロックします。

 これは、自分で操作を間違った場合もロックされますので注意が必要です。

Login lock

フェールワンス

 ログインを1度必ず失敗する機能です。 パスワードが正しくても、必ず1度失敗します。

 次の2回目にパスワードがマッチすると、ログインできます。

 パスワードがマッチしても、必ず一度失敗しますので、 パスワード総当たり攻撃に有効です。

SiteGuard login_fail

さっそくはじめよう!インストールと設定【図解】

インストールと有効化

 WordPressの管理画面で、「プラグイン」ー「新規追加」で、「SIteGuard」と入力して検索します。

 SiteGuard WPプラグインを選択してインストールし、有効化します。

Plugin-New
SiteGuard Plugin

ログインページを記録する

 プラグインを有効化すると、このようにログインページが変更されたことを伝える表示が出ます。

 必ずここをクリックして、変更後のログインページを「ブックマーク」して記録しましょう。

Login URL changed

管理画面

インストールが完了すると、WordPRess管理画面に、

SiteGuard メニューが追加されますのでクリックします。

SiteGuard menu

次のような設定画面が表示されます。

SiteGuard Control

各機能を説明していきます。

管理ページアクセス制御

管理者ページへのアクセスを制限することができます。

過去にアクセス実績がある、IPアドレスからのアクセスに限定することができます。

有効するには、「ON」にして「変更を保存」をクリックします。

SiteGuard Access Control

ログインページ変更【必須】

 Wordpressインストール直後のログインページは、「サイト名/wp-login.php」となり

 そのままにしておくと、ログインページが簡単にわかってしまいます

 この機能を有効にすると、ログインページのURLを変更することができます。

 先ほどプラグインの有効化直後に設定されたログインURLが、がここに登録されています。

 初期設定の場合、自動的に「login_」のあとに5桁のランダムな数字が設定されます。

 例:https://サイト名/login_12345

 ログインULRを直接変更したい場合は、ここでログインアカウントを変更します。

 変更した場合は、次回のログインURLが変更になるので、忘れないように記録しておきましょう。

 有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。

SiteGuard loginpage change menu

ポイント

独自のログイン文字列に変更しておくと、さらにセキュリティ耐性が向上します。

画像認証【必須】

ログイン認証時に、パスワードに加えて文字の画像認証機能を追加できます。

プラグインインストール後の初期状態ではONとなっています。

有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。

SiteGuard login
SiteGuard Image certification menu

ログイン詳細エラーメッセージの無効化【必須】

ログインエラーの詳細情報を出さないようにする設定です。

攻撃者に何が違うのか解かってしまうと、攻撃しやすくなってしまうからです。

IDが違うのか、パスワードが違うのか、詳細情報をださないようにしておくほうが良いです。

プラグインインストール後の初期状態ではONとなっています。

有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。

SiteGuard Login fail information-off menu

ログインロック

ログインに失敗したときに、一次的にロックをかけることがでる機能です。

指定期間中に指定回数ログイン失敗した場合は、ロック時間ログインをロックします。

自分もログインに失敗した場合もロックされるので、注意が必要です。

プラグインインストール後の初期状態ではONとなっています。

有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。

SiteGuard login-lock menu

ログインアラート【必須】

 自サイトにログインがあったら、メールで知らせる機能です。

 自分が管理者としてログインした場合も、メールが送信されます。

 管理上有効にしておくことをおすすめします。

SiteGuard login-info mail manu

 【送信メール例】

Site Guard mail example

フェールワンス【必須】

 ログインを一度かならず失敗する機能です。

 認証結果が正しい場合も、必ず1度認証がNGになるので、

 不正アクセスへの効果があります。

 有効化する場合は、管理者のみのチェックを外し、「ON」を選択して、「変更を保存」をクリックします。

 

SIteGuard fail-once menu

XMLPRC防御【必須】

 XMLRPCとは、「遠隔手続き呼び出し」でリモートで操作できる仕組みのコトです。

 これを利用しリモート操作が可能になる通信仕様です。

 この通信機能を無効化します。これは、他の処理に影響する可能性があります。

 ピンバックとはWordPressの独自機能で、外部のサイトで記事のリンクを貼ると、

 その情報を相手に伝えることができる機能のコトです。

  通常は初期状態のピンバック無効化で良いです。

SIteGuard XMLPRC menu

更新通知

 Wordpress、プラグイン、テーマの更新があった場合に管理者にメール送信される機能です。

 初期状態はOFFです。必要に応じてONにします。

SIteGuard mail menu

WAFチューニングサポート

 WAFとは、Web Application Firewallのコト。

 Webアプリケーションの脆弱性を悪用した攻撃から

 Webサイトを保護するセキュリティ対策の1つです。

 一般的には、レンタルサーバー側に機能があるため不要です。

SIteGuard WAF menu

詳細設定

 IPアドレスの取得方法を指定します。

 通常、初期状態の「リモートアドレス」で良いです。

SiteGuard IP menu

ログイン履歴

ログイン履歴が表示されます。

SiteGuard login record
ゆめただのり
ゆめただ

SiteGuard WPプラグインを導入して

あなたも、セキュリティ対策を万全にしましょう!

-セキュリティ