[図解]SiteGuard WP Pluginでセキュリティを超強化[全設定]

あなたのwordpressブログはセキュリティを強化していますか？wordpressブログは常に危険に晒されています。Siteguardwppluginの設定方法を記事にしましたので自分のブログを攻撃から守りたい方のみ読んでみてください。

okoんにちは。マイナスからブログを始めたオコブロです。

この記事にたどり着いた方は

• wordpressのセキュリティなんにもやってないや
• SiteGuard WP Pluginの存在を知ってから、いてもたってもいられない！
• 初心者でもセキュリティを強化する方法ってあるの？

という方ではないでしょうか。


僕も初めてのブログを運営しているときにSiteGuard WP Pluginの存在を知り、今のあなたのようにいてもたってもいられなくなりました。


知らなければセキュリティなんて気にならないのですが、一度情報が入ってしまうと「すぐにやらなきゃ！ブログが乗っ取られてしまう！」と心配になりますよね。

では今すぐにやりましょう

それまでの苦労が水の泡にならないように対策しておきましょう。

SiteGuard WP Pluginの機能

SiteGuard WP Pluginはとても多くのセキュリティ機能を持っています。


大きな機能では

という機能を持っています。

SiteGuard WP Pluginを使用する目的

目的はズバリ、「サイトのセキュリティを超強化する」です。


今のあなたのwordpressブログが悪意を持った人間に対してどれだけの脆弱性を抱えているか簡単に説明します。

あなたが今wordpressの管理を行うときに、まずは「ユーザー名」「パスワード」の入力を求められるページに行きますよね。これはログインページをいう場所で、ここに正しい「ユーザー名」「パスワード」を入れれば誰でも管理者として管理画面にアクセスできます。

このログインページのURLを見てみてください。

というURLではないでしょうか？



これを僕が知っているということは「僕はあなたのブログのログインページまで行ける」ということです。




あとは当てずっぽうでユーザー名とパスワードを入れればあなたのブログを好きにいじれてしまいます。

機会的にランダムに入力されたらやばいですよね・・・

いつか突破されるわね・・・

マイナスからブログを始めた僕がログインページに行けるということはつまり、wordpressをやっている人なら誰でもログインページに行けるということです。


僕はあなたのことを知らないのでユーザー名とパスワードを推察することはできませんが、あなたの知人であればどうでしょうか？ニックネーム、メールアドレス、誕生日・・・時間をかければ突破される可能性は非常に高いですよね。



SiteGuard WP Pluginの機能のひとつに「ログインページURLを変更する」という機能があります。


このように様々な方法で様々なセキュリティを高めていくのがSiteGuard WP Pluginを使用する目的です。

SiteGuard WP Pluginのインストールから有効化

ダッシュボードの「プラグイン」から「新規追加」をクリック。

検索窓に「SiteGuard WP Plugin」と入力し、「今すぐイントール」をクリック。

有効化した瞬間ログインページが変更されます。ここからは作業を中断せず、通しで作業をしてください。

右のわんちゃんが気になって内容が入ってこないわ！

ここの作業はときに集中してください。ログインできなくなる可能性すらあります。

インストールが終わったら有効化してください。

新しいログインページで再ログイン

すでにログインページが変更されているので管理画面最上部の「新しいログインページURLをブックマークしてください」をクリックします。



ちなみにこの時点で新しいログインページを知らせるメールも届いています。

クリックすると新しいログインページに移動します。

今までのhttps://サイトURL/wp/wp-login.php　　https://サイトURL/wp/wpwp-admin というURLとは違い、ドメイン名の後ろがランダムな数字になっています。



この後、わかりやすいURLにさらに変更するのですが、念のためブックマークしておきましょう。


今まではなかった画像認証が追加されています。これは機械的に攻撃をしかけてくるシステムをブロックするためです。

画像認証が追加されていてすでにセキュリティが上がっているのがわかります。

いつも通りのユーザー名、パスワードを入力し、画像認証の文字を入力してログインしてください。

SiteGuard WP Plugin各種設定

ここからダッシュボードの上から順に設定していきます。それぞれの設定で「保存」ボタンをクリックすることを忘れないでください。

管理ページアクセス制限

ここはOFFのままにしてください。

ログインページ変更

新しいログインページができたばかりですが、ランダムな数字だと万一忘れてしまったときにどうしようもなくなるので、わかりやすいURLに変更します。

ログインしたらダッシュボードの「SiteGuard」から「ログインページ変更」をクリック。

ドメイン以下を自分が覚えていられる、推察できるURLに変更します。「ブログ名」ではなく、親の誕生日や大切にしているものなど、普遍的なものがいいと思います。



「管理者ページからログインページへリダイレクトしない」にチェックを入れ、「保存」をクリック。
これでさっきの数字のログインページは無効になり、今設定したURLがさらに新しいログインページになります。次回からはこのURLでログインしましょう。

URLのメールが届いていますがブックマークもしておきましょう。

そもそもの入り口をわからなくしてしまおうということです。

画像認証

ブログのメインターゲットが日本人であれば全て「ひらがな」を選択してください。


ひらがなにすることで海外からのスパムを強力にブロックしてくれます。

ひらがなにすることで海外からの攻撃にとても強くなります。

ログイン詳細エラーメッセージの無効化

「ON」にします。

ログインページからログインを試みようとするユーザーに「ユーザー名が違います」「パスワードが違います」という表示を出さずに「違います」とだけ表示させることで「どの部分があっていてどの部分が違っているのか」ということをわからなくします。

常に「両方違うよ」ということで特定を防ぎます。

ログインロック

ログインしようとしている期間と回数を設定すると、ログインに失敗したときに設定した期間ログインができなくなる機能です。


上の画像は30秒間に3回ログインに失敗した場合、1分間ログインできなくなる設定にしています。機械的にログインを試みるユーザーに対して効果が高いです。

単純に機会的な攻撃の「回数」を減らすことができます。

ログインアラート

ログインする度にメールがくるのが嫌なので「OFF」にしています。

自分がログインしたときもメールが来るのでうっとうしいです。お好みでonでもいいですよ。

フューエルワンス

正しくユーザー名とパスワードを入力しても、一度「ログインに失敗しました」と表示させます。次にもう一度入力するとログインできます。

悪意あるユーザーに対してフェイントをかける機能です。

いちいち二回入力するのが面倒なので僕はOFFにしています。

XMLRPC防御

コメントがきたときやリンクを貼ったときにメールで通知がくるかを設定できます。

いちいちメールがくるのが面倒な方はピンバックの無効化にチェック。管理画面には通知がくるのでマメにブログを更新する方はチェックを入れていいと思います。

XMLRPCは他のプラグインに影響を与える可能性があるのでチェックをいれません。

最初のブログでXMLRPCからログインを試みた形跡があったので今はXMLRPCの無効化にチェックを入れている設定に変更しています。

後述する「ログイン履歴」を確認したときにXMLRPCからログインを試みた記録があったのでチェックを入れるようにしました。

更新通知

更新できるプラグインやテーマがあるときにメールで通知してくれます。wordpress5，5からは自動更新できる設定ができたのでOFFでいいです。

wordpress5，5からは放っておいても更新してくれるのでこの機能はいらないかなと思います。

WAFチューニングサポート

専門的な内容なのでデフォルトにままにしています。正直僕もよくわかっていません。

詳細設定

上に同じです。デフォルトでいいでしょう。

ログイン履歴

過去一万件のログイン履歴をみることができます。万一ブログにおかしな点があればここをチェックしましょう。

まとめ

いかがでしたでしょうか。

SiteGuard WP Pluginの詳細を説明できたかと思います。

このブログを順に読んでいてくれている方はこれで安心して記事を書き始めることができます。結構な数のプラグインも設定してきましたし、ちょうどよいタイミングでした。

もうすこしプラグインの設定が続きますが、僕が最初のブログを作ったときと比べたら全然楽です。もう少し頑張りましょう。