Warning: Attempt to read property "title" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 113
Warning: Attempt to read property "description" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 119
Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145
ブログサイト立ち上げたいけど、セキュリティ対策って必要?
WordPressのログインパスワードって大丈夫なんだろうか?
そんな悩みを解決します!
WordPressのログインページは、攻撃者から狙われやすいって知っていますか?
何も対策しないと、サイトが乗っ取られ改ざんされてしまう危険性があります。
本記事では、WordPressログインセキュリティの具体的対策をまとめています!
この記事を書いた人【ゆめただ】
なぜログインセキュリティが必要なのか?
サイトを公開する前に、
WordPressのログインセキュリティ対策をしましょう!
ぜひ参考にしてください。
対策しないとどうなるか?
次のリスクが高まり、結果自サイトを乗っ取られてしまう可能性が高まります。
不正アクセス
自サイトに勝手にログインされて不正にアクセスされてしまいます。 サイト管理者がのっとられてしまうため、非常に危険です。
サイト改ざん
サイトの中身のコンテンツを、勝手に改ざんされてしまいます。 知らない画像を貼り付けられたり、もう何をやられるか予測不可能です。
個人情報の漏洩
サイト管理者のログインやパスワードなど、サイト内で管理者しか見れない情報がある場合、中身が漏洩する危険性があります。
ログインセキュリティ対策に必須!SiteGuard WPプラグインとは
SiteGuard WP は、ログインセキュリティに特化した無料のプラグインです。
インストール数実績も多く、導入必須のプラグインと言えます。
「JP-Secure Inc.」という、セキュリティ専門会社が開発しています。
これだけ豊富!SiteGuard WPプラグインの機能
これだけ機能が豊富です! 特におすすめの機能を、黄色アンダーラインしています。
機能 | 説明 |
---|---|
管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
ログインページ変更 ★ | ログインページ名を変更します。 |
画像認証 ★ | ログインページ、コメント投稿に画像認証を追加します。 |
ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
ログインロック ★ | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
ログインアラート | ログインがあったことを、メールで通知します。 |
フェールワンス ★ | 正しい入力を行っても、ログインを一回失敗します。 |
XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
ユーザー名漏えい防御 | ユーザー名の漏えいを防ぎます。 |
更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
ログインページ変更
WordPressのデフォルトログインページは、「サイト名/wp-login.php」になりますが、
これを、ランダムな数字を含んだログインページに自動で変更してくれます。
ログインページが類推されることを防ぎます。
画像認証
ログイン時に、パスワードに加え、画像のひらがな認証機能が追加されます。
ログインロック
指定回数連続でログインを失敗すると、ログインを一定時間ロックします。
これは、自分で操作を間違った場合もロックされますので注意が必要です。
フェールワンス
ログインを1度必ず失敗する機能です。 パスワードが正しくても、必ず1度失敗します。
次の2回目にパスワードがマッチすると、ログインできます。
パスワードがマッチしても、必ず一度失敗しますので、 パスワード総当たり攻撃に有効です。
さっそくはじめよう!インストールと設定【図解】
インストールと有効化
WordPressの管理画面で、「プラグイン」ー「新規追加」で、「SIteGuard」と入力して検索します。
SiteGuard WPプラグインを選択してインストールし、有効化します。
ログインページを記録する
プラグインを有効化すると、このようにログインページが変更されたことを伝える表示が出ます。
必ずここをクリックして、変更後のログインページを「ブックマーク」して記録しましょう。
管理画面
インストールが完了すると、WordPRess管理画面に、
SiteGuard メニューが追加されますのでクリックします。
次のような設定画面が表示されます。
各機能を説明していきます。
管理ページアクセス制御
管理者ページへのアクセスを制限することができます。
過去にアクセス実績がある、IPアドレスからのアクセスに限定することができます。
有効するには、「ON」にして「変更を保存」をクリックします。
ログインページ変更【必須】
Wordpressインストール直後のログインページは、「サイト名/wp-login.php」となり
そのままにしておくと、ログインページが簡単にわかってしまいます。
この機能を有効にすると、ログインページのURLを変更することができます。
先ほどプラグインの有効化直後に設定されたログインURLが、がここに登録されています。
初期設定の場合、自動的に「login_」のあとに5桁のランダムな数字が設定されます。
例:https://サイト名/login_12345
ログインULRを直接変更したい場合は、ここでログインアカウントを変更します。
変更した場合は、次回のログインURLが変更になるので、忘れないように記録しておきましょう。
有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。
ポイント
独自のログイン文字列に変更しておくと、さらにセキュリティ耐性が向上します。
画像認証【必須】
ログイン認証時に、パスワードに加えて文字の画像認証機能を追加できます。
プラグインインストール後の初期状態ではONとなっています。
有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。
ログイン詳細エラーメッセージの無効化【必須】
ログインエラーの詳細情報を出さないようにする設定です。
攻撃者に何が違うのか解かってしまうと、攻撃しやすくなってしまうからです。
IDが違うのか、パスワードが違うのか、詳細情報をださないようにしておくほうが良いです。
プラグインインストール後の初期状態ではONとなっています。
有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。
ログインロック
ログインに失敗したときに、一次的にロックをかけることがでる機能です。
指定期間中に指定回数ログイン失敗した場合は、ロック時間ログインをロックします。
自分もログインに失敗した場合もロックされるので、注意が必要です。
プラグインインストール後の初期状態ではONとなっています。
有効化する場合は、「ON」を選択して、「変更を保存」をクリックします。
ログインアラート【必須】
自サイトにログインがあったら、メールで知らせる機能です。
自分が管理者としてログインした場合も、メールが送信されます。
管理上有効にしておくことをおすすめします。
【送信メール例】
フェールワンス【必須】
ログインを一度かならず失敗する機能です。
認証結果が正しい場合も、必ず1度認証がNGになるので、
不正アクセスへの効果があります。
有効化する場合は、管理者のみのチェックを外し、「ON」を選択して、「変更を保存」をクリックします。
XMLPRC防御【必須】
XMLRPCとは、「遠隔手続き呼び出し」でリモートで操作できる仕組みのコトです。
これを利用しリモート操作が可能になる通信仕様です。
この通信機能を無効化します。これは、他の処理に影響する可能性があります。
ピンバックとはWordPressの独自機能で、外部のサイトで記事のリンクを貼ると、
その情報を相手に伝えることができる機能のコトです。
通常は初期状態のピンバック無効化で良いです。
更新通知
Wordpress、プラグイン、テーマの更新があった場合に管理者にメール送信される機能です。
初期状態はOFFです。必要に応じてONにします。
WAFチューニングサポート
WAFとは、Web Application Firewallのコト。
Webアプリケーションの脆弱性を悪用した攻撃から
Webサイトを保護するセキュリティ対策の1つです。
一般的には、レンタルサーバー側に機能があるため不要です。
詳細設定
IPアドレスの取得方法を指定します。
通常、初期状態の「リモートアドレス」で良いです。
ログイン履歴
ログイン履歴が表示されます。
SiteGuard WPプラグインを導入して
あなたも、セキュリティ対策を万全にしましょう!