SiteGuard WP Pluginで不正ログインを防ぐ!【WordPressセキュリティ対策】

SiteGuard WP Pluginをインストールしよう

こんにちは。IT系ワーママのりょうこです。

ブロガーさん

WordPressのセキュリティ対策をしたほうがよいと聞きましたが、難しいことはできそうもないしよくわかりません。簡単にできる対策ありませんか?

りょうこ

セキュリティ対策にはいろいろありますが、最初に対策すべきなのは管理画面にログインさせないことです。
WordPressは管理画面にログインされると、記事の削除や書き換えなどなんでもできてしまうためです。

WordPressでブログを作成するかたが増えています。

手軽にと言うにはちょっと難しい部分もありますが、解説サイトや動画もたくさんあり、IT技術職ではなくても自分のサイトを立ち上げ運用できるようになりました。

一方セキュリティ的な観点で言うと、使っている人が多いということは悪い人に狙われやすいということ。

WordPressの管理ツールを使ってブログを作成していると思いますが、もし自分以外の人が管理画面にログインしてしまったらと想像してください。苦労して作った記事も画像も削除し放題、変更し放題。なんとも怖いです。

管理画面に他の人にログインさせないための手段はいくつもあり、組み合わせて対策します。例えば、

  • ユーザーIDを知られないようにする
  • ログイン画面を見つけにくくする
  • 何度もログインに失敗したらアカウントをロックする
  • 人間の操作以外からのログイン試行を防ぐ
  • パスワードを複雑にする
  • 他で使用していないパスワードを使用する

など

本記事では、上記のなかの複数ポイントを簡単に実現してくれるプラグイン「SiteGuard WP Plugin」のインストール方法と注意点を解説していきます。

この記事でわかること
  • SiteGuard WP Pluginのインストール方法
  • SiteGuard WP Pluginでできること
  • SiteGuard WP Pluginインストール時の注意点
目次

SiteGuard WP Pluginとは

SiteGuard WP Pluginとは

SiteGuard WP Pluginの公式サイトには下記の説明があります。

SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。
管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。

・不正ログイン

・管理ページ(/wp-admin/)への不正アクセス

・コメントスパム

引用元:SiteGuard Wp Plugin公式サイトより

公式サイトにあるとおり、SiteGurad WP PluginはWordPressの管理ページへの不正ログインのリスクを下げることに主眼をおいた日本製のプラグインです。

WordPressには英語のプラグインも多いですが、本プラグインは日本語完全対応で、インストールするだけでサイトの安全性が向上しますので、我々日本のWordPressユーザにはオススメできるプラグインとなっています。

一方で、セキュリティと利便性はトレードオフの関係にあります。安全性を向上させればさせるほど、どうしても使いにくさが出てしまいます。

基本的にはデフォルトONの機能はONのままで、デフォルトOFFのものはサイトに求められる安全性に応じて、機能を理解した上でONにしていくようにしましょう。

SiteGuard WP Pluginのインストール方法

ログイン画面の秘匿

SiteGuard WP Pluginのインストールしていきましょう。

  1. WordPress管理画面のサイドバーから「プラグイン」をクリック
  2. 「新規追加」をクリック
  3. 「プラグインの検索…」欄に「SiteGuard WP」を入力しEnterキー
  4. 「SiteGuard WP Plugin」が表示されたら、「SiteGuard WP Plugin」の「今すぐインストール」をクリック
  5. インストール完了後に「有効化」ボタンをクリック
  6. 新しいログインページURLをブックマーク(お気に入り)に登録する
  7. WordPress管理画面のメニューにSiteGuardが追加される

1) WordPress管理画面のサイドバーから「プラグイン」クリック

2)「新規追加をクリック」

プラグイン新規追加

3)「プラグインの検索…」欄に「SiteGuard WP」を入力しEnterキー

4)「SiteGuard WP Plugin」が表示されたら、「SiteGuard WP Plugin」の「今すぐインストール」をクリック

SiteGuardインストール

5) インストール完了後に「有効化」ボタンをクリック

SiteGuard有効化

6) 【重要】新しいログインページURLをブックマーク(お気に入り)に追加する

SiteGuard新しいURL

ブックマーク追加のためには、ブラウザのURLの右にある星印をクリックします。

Google ChromeやFirefoxではブックマーク、Microsoft Edgeではお気に入りと呼びます。

ブックマーク
ブックマーク追加方法(Google Chromeの場合)

7) WordPress管理画面のメニューにSiteGuardが追加される

SiteGuardアイコン

手順の通り作業してプラグインを有効化すると、自動的に管理画面へのログインURLが変更になります。

変更後のURLを忘れずにブックマーク(お気に入り)に登録してください。

忘れると管理画面にログインできなくなってしまいます。

万が一変更後のURLを忘れてしまった場合の対処方法は、下記の記事を参照ください。

SiteGuard WP Pluginでできること

SiteGuard WP Pluginの主な機能を解説します。すべての機能について詳しく知りたい方は、公式サイトを参照ください。

下記の機能の設定はすべて、前述インストール手順7で追加されたWordPress管理画面の「SiteGuard」から表示することができます。

  1. 管理ページアクセス制限
  2. ログインページのURL変更
  3. 画像認証の追加
  4. 繰り返しログイン失敗時のアカウントロック機能
  5. ユーザー名漏洩防止

管理ページアクセス制限

管理ページアクセス制限

管理ページに対する攻撃をブロックする機能です。

ログインに成功した端末のIPアドレスをプラグインが覚えていて、それ以外のIPアドレスからアクセスすると「404 Not Found」エラーになります。

ログイン済みと記憶しているIPアドレスは24時間経過すると時間切れになり、ログインしていないアドレスと見なされるようになります。

デフォルトOFFの機能です。よりセキュリティを高めたい場合にONにしてください。

ログインページのURL変更

ログインページ変更

管理画面にログインするためのページのURLを変更する機能です。

SiteGuard WP Pluginをインストールして有効化するとすぐにこの機能が働き、ログインページ(wp-login.php)が、「login_<5桁の乱数>」に変更されます。

変更後のURLは管理画面から確認することができます。

オプションの「管理者ページからログインページへリダイレクトしない」がOFFのままだと、管理ページ(/wp-admin/)にアクセスすると変更後のログインページにリダイレクトしてしまい、URLを隠した意味がなくなってしまいます。

セキュリティを高めるためには、オプションの「管理者ページからログインページへリダイレクトしない」をONにしておきましょう。

また、自動的に発行されたURLはさらに好きな文字列に変更することもできます。

自動発行のURLは最大99,999回試行することでわかってしまいますので、推測しにくいURLに変更することでサイトはより安全になります。

画像認証の追加

画像認証

ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに画像認証を追加する機能です。

画像認証を追加することで、パスワードを総当たりでログイン試行する攻撃(ブルートフォース攻撃)が難しくなります。画像から文字を読み出す処理が必要になり、その一手間がかかることで無差別の攻撃者の標的になりにくい効果があります。

画像には「ひらがな」と「英数字」を選べますが、ひらがなを扱えない海外からの攻撃者を排除できるので「ひらがな」がオススメです。

繰り返しログイン失敗のアカウントロック機能

ログインロック

繰り返しログインを失敗した接続元IPアドレスを指定時間ブロックする機能です。

パスワードを総当たり(ブルートフォース攻撃)や、パスワードリストから攻撃(リスト攻撃)するような機械的な攻撃が成功するまでの時間が長くなります。成功までに時間がかかることで攻撃者を諦めさせる、狙われにくくする対策です。

デフォルトでは、5秒に3回繰り返しログイン失敗したIPアドレスを1分ブロックする設定になっています。

人間が正しく使用している限り、画像認証の入力も含めると5秒で3回失敗することはなかなか難しいため、デフォルト設定で使用に支障が出ることはないでしょう。

ユーザー名漏えい防御機能

ユーザー名漏えい防御

ログインをするためには、正しいユーザー名とパスワードの組み合わせが必要になります。

ユーザー名を隠すことで、不正ログインをより困難にするための機能です。

デフォルトはOFFになっていますので、必要に応じてONにしてください。

ユーザー名漏洩防止については、下記の記事も参考にしてください。

まとめ:WordPressには必ずSiteGuard WP Pluginをインストールしよう

SiteGuard WP Pluginは日本語に対応した、使いやすいセキュリティプラグインです。

WordPressセキュリティ対策の第一歩として、WordPressを使用する場合は必ずインストールしておきましょう。

ログインURLの保存だけ忘れないように気をつけてください。

なお、SiteGuard WP Pluginを入れたらもう不正ログインには絶対にされないというわけではありません。

簡単に推測できるパスワードや他のサイトと同じパスワードを使用しないという、使う人側の注意点はどのパスワード管理も同じです。

りょうこ

あなたの大切なサイトが不正アクセスにあわないよう、十分気をつけて対策していきましょう。

\応援クリックお願いします/
ブログランキング・にほんブログ村へ

コメント

コメントする

CAPTCHA


目次