ブロガーさん WordPressのセキュリティ対策をしたほうがよいと聞きました。
難しいことはできそうもないし、よくわかりません。
簡単にできる対策ありませんか?
りょうこ一番基本の対策は自分以外の人にログインさせないことです。
方法はいろいろありますが、まずは使いやすいプラグインをひとつ入れましょう。
WordPressでブログを作成するかたが増えています。
参考になる解説サイトや動画が数多くあり、IT技術職ではなくても自分のサイトを立ち上げ運用できるようになりました。
一方セキュリティ的な観点で言うと、使っている人が多いということは悪い人に狙われやすいということ。
WordPressの管理ツールを使ってブログを作成していると思いますが、もし自分以外の人が管理画面にログインしてしまったらと想像してください。苦労して作った記事も画像も削除し放題、変更し放題。なんとも怖いです。
管理画面に他の人にログインさせないための手段はいくつもあり、組み合わせて対策します。例えば、次のような対策があります。
- ユーザーIDを知られないようにする
- ログイン画面を見つけにくくする
- 何度もログインに失敗したらアカウントをロックする
- 人間の操作以外からのログイン試行を防ぐ
- パスワードを複雑にする
- 他で使用していないパスワードを使用する
など
本記事では、上記の複数の対策を簡単に実現してくれるプラグイン「SiteGuard WP Plugin」のインストール方法と注意点を解説していきます。
- SiteGuard WP Pluginのインストール方法
- SiteGuard WP Pluginでできること
- SiteGuard WP Pluginインストール時の注意点
SiteGuard WP Pluginとは
SiteGuard WP Pluginとは
SiteGuard WP Pluginの公式サイトには下記の説明があります。
SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。
管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。・不正ログイン
・管理ページ(/wp-admin/)への不正アクセス
・コメントスパム
引用元:SiteGuard Wp Plugin公式サイトより
公式サイトにあるとおり、SiteGurad WP PluginはWordPressの管理ページへの不正ログインのリスクを下げることに主眼をおいた日本製のプラグインです。
WordPressには英語のプラグインも多いですが、本プラグインは日本語完全対応で、インストールするだけでサイトの安全性が向上しますので、我々日本のWordPressユーザにはオススメできるプラグインとなっています。
一方で、セキュリティと利便性はトレードオフの関係にあります。安全性を向上させればさせるほど、どうしても使いにくさが出てしまいます。
基本的にはデフォルトONの機能はONのままで、デフォルトOFFのものはサイトに求められる安全性に応じて、機能を理解した上でONにしていくようにしましょう。
SiteGuard WP Pluginのインストール方法
SiteGuard WP Pluginのインストールしていきましょう。
- WordPress管理画面のサイドバーから「プラグイン」をクリック
- 「新規追加」をクリック
- 「プラグインの検索…」欄に「SiteGuard WP」を入力しEnterキー
- 「SiteGuard WP Plugin」が表示されたら、「SiteGuard WP Plugin」の「今すぐインストール」をクリック
- インストール完了後に「有効化」ボタンをクリック
- 新しいログインページURLをブックマーク(お気に入り)に登録する
- WordPress管理画面のメニューにSiteGuardが追加される
1) WordPress管理画面のサイドバーから「プラグイン」クリック
2)「新規追加をクリック」
3)「プラグインの検索…」欄に「SiteGuard WP」を入力しEnterキー
4)「SiteGuard WP Plugin」が表示されたら、「SiteGuard WP Plugin」の「今すぐインストール」をクリック
5) インストール完了後に「有効化」ボタンをクリック
6) 【重要】新しいログインページURLをブックマーク(お気に入り)に追加する
ブックマーク追加のためには、ブラウザのURLの右にある星印をクリックします。
Google ChromeやFirefoxではブックマーク、Microsoft Edgeではお気に入りと呼びます。
7) WordPress管理画面のメニューにSiteGuardが追加される
手順の通り作業してプラグインを有効化すると、自動的に管理画面へのログインURLが変更になります。
変更後のURLを忘れずにブックマーク(お気に入り)に登録してください。
忘れると管理画面にログインできなくなってしまいます。
万が一変更後のURLを忘れてしまった場合の対処方法は、下記の記事を参照ください。
SiteGuard WP Pluginでできること
SiteGuard WP Pluginの主な機能を解説します。すべての機能について詳しく知りたい方は、公式サイトを参照ください。
下記の機能の設定はすべて、前述インストール手順7で追加されたWordPress管理画面の「SiteGuard」から表示することができます。
- 管理ページアクセス制限
- ログインページのURL変更
- 画像認証の追加
- 繰り返しログイン失敗時のアカウントロック機能
- ユーザー名漏洩防止
管理ページアクセス制限
管理ページに対する攻撃をブロックする機能です。
ログインに成功した端末のIPアドレスをプラグインが覚えていて、それ以外のIPアドレスからアクセスすると「404 Not Found」エラーになります。
ログイン済みと記憶しているIPアドレスは24時間経過すると時間切れになり、ログインしていないアドレスと見なされるようになります。
デフォルトOFFの機能です。よりセキュリティを高めたい場合にONにしてください。
ログインページのURL変更
管理画面にログインするためのページのURLを変更する機能です。
SiteGuard WP Pluginをインストールして有効化するとすぐにこの機能が働き、ログインページ(wp-login.php)が、「login_<5桁の乱数>」に変更されます。
変更後のURLは管理画面から確認することができます。
オプションの「管理者ページからログインページへリダイレクトしない」がOFFのままだと、管理ページ(/wp-admin/)にアクセスすると変更後のログインページにリダイレクトしてしまい、URLを隠した意味がなくなってしまいます。
セキュリティを高めるためには、オプションの「管理者ページからログインページへリダイレクトしない」をONにしておきましょう。
また、自動的に発行されたURLは好きな文字列に変更することができます。
自動発行のURLは最大99,999回試行することでわかってしまいますので、推測しにくいURLに変更することでサイトはより安全になります。
画像認証の追加
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに画像認証を追加する機能です。
画像認証を追加することで、パスワードを総当たりでログイン試行する攻撃(ブルートフォース攻撃)が難しくなります。画像から文字を読み出す処理が必要になり、その一手間がかかることで無差別の攻撃者の標的になりにくい効果があります。
画像には「ひらがな」と「英数字」を選べますが、ひらがなを扱えない海外からの攻撃者を排除できるので「ひらがな」がオススメです。
繰り返しログイン失敗のアカウントロック機能
繰り返しログインを失敗した接続元IPアドレスを指定時間ブロックする機能です。
パスワードを総当たり(ブルートフォース攻撃)や、パスワードリストから攻撃(リスト攻撃)するような機械的な攻撃が成功するまでの時間が長くなります。成功までに時間がかかることで攻撃者を諦めさせる、狙われにくくする対策です。
デフォルトでは、5秒に3回繰り返しログイン失敗したIPアドレスを1分ブロックする設定になっています。
人間が正しく使用している限り、画像認証の入力も含めると5秒で3回失敗することはなかなか難しいため、デフォルト設定で使用に支障が出ることはないでしょう。
ユーザー名漏えい防御機能
ログインをするためには、正しいユーザー名とパスワードの組み合わせが必要になります。
ユーザー名を隠すことで、不正ログインをより困難にするための機能です。
デフォルトはOFFになっていますので、必要に応じてONにしてください。
ユーザー名漏洩防止については、下記の記事も参考にしてください。
SiteGuard WP Pluginは入れない方がいい!?
実はインターネット上でSiteGuard WPプラグインを検索すると、入れない方がよいという口コミ・評判を目にすることがあります。
ここまで解説してきた通りSiteGuard WP プラグインはオススメできるプラグインですが、使う際に注意点が2つあります。
- URLが変更されることを十分に理解してからインストールしよう
- 機能が競合するセキュリティプラグインを入れないようにしよう
注意点1:URLが変更されることを十分に理解してからインストールしよう
SiteGuard WP プラグインを使用してサイトを立ち上げた初心者さんに一番多いお悩みは次のものです。
解説サイトに書いてあったとおりにプラグインを入れていきました。
次にログインしようとしたら、管理画面のログイン画面に行かれません。いったいどうしてしまったのでしょう???
これはSiteGuard WP プラグインをインストールして有効化した際、URLの変更に気づかなかったことが原因です。
急にログインできなくなったことで「トラブルが起こった!」「プラグインを入れたら困ったことになった!」と思われ、SiteGuard WP Pluginの印象が悪くなってしまうのですが、これはトラブルではありません。
セキュリティ機能のプラグインが正しくインストールされ、正しくあなたのサイトを守ってくれている状態です。
あまりにも「インストールしたらログインできなくなった」という声が多く、「それなら入れない方がよい」という評判になっているのではないかと思います。
りょうこ実際私も3日に1度はこの質問にお答えしていた時期がありました…
管理画面に行かれないときの対象方法は次の記事で詳しく説明しています。
注意点2: 同じ機能をもつセキュリティプラグインを入れないにしよう
セキュリティ対策のプラグインは数多くあり、さまざまなサイトで異なるプラグインがオススメとして紹介されいます。
いくつものサイトを参考にし、それぞれのサイトで紹介されていたプラグインを全部入れていたら動きがおかしくなってしまったというのはよく聞く話です。
セキュリティ対策に限らず、プラグインの最適解は1つではありません。だからといってたくさん入れればよいものでもないのです。
同じ機能を持つプラグインを複数いれると、ログインできない、画像が表示されないなどの不具合が起こることがあります。
SiteGuard WP プラグインは多機能であるが故に競合する機能も多く、使用を避けた方がよいと言われている原因になっています。
りょうこ競合する機能のプラグインが入っていない私の環境では、2年近く安定して動いてくれていますよ。
SiteGuard WPプラグインと一緒に使わない方がよいプラグインの一例:
セキュリティ機能をもつプラグイン、ログイン機能を守ることがうたわれているプラグインは一緒に入れないようにしましょう!
まとめ:SiteGuard WPプラグインを入れて不正ログインを防ごう
SiteGuard WP Pluginは日本語対応の使いやすいセキュリティプラグインです。
WordPressセキュリティ対策の第一歩として、WordPressを使用する場合はインストールしておきましょう。
ログインURLの保存だけ忘れないように気をつけてください。
SiteGuard WP Pluginを入れても不正ログインの心配がまったくなくなるわけではありません。
簡単に推測できるパスワードや他のサイトと同じパスワードを使用しないという、利用者の注意点はどのパスワード管理も同じです。
りょうこあなたの大切なサイトが不正アクセスにあわないよう、十分気をつけて対策していきましょう。
コメント