[図解]SiteGuard WP Pluginでセキュリティを超強化[全設定]

あなたのwordpressブログはセキュリティを強化していますか?wordpressブログは常に危険に晒されています。Siteguardwppluginの設定方法を記事にしましたので自分のブログを攻撃から守りたい方のみ読んでみてください。

okoblo

okoんにちは。マイナスからブログを始めたオコブロです。

あなたの現在位置

このブログは「最初の記事から順に読めば誰でも収益を得られるwordpressブログを作れる」というコンセプトで運営しています。順に読んでくれている方の現在地は「ブログデザインの前に、必要なプラグインの設定を全て完了させている作業中」です。





この記事にたどり着いた方は

  • wordpressのセキュリティなんにもやってないや
  • SiteGuard WP Pluginの存在を知ってから、いてもたってもいられない!
  • 初心者でもセキュリティを強化する方法ってあるの?


という方ではないでしょうか。


僕も初めてのブログを運営しているときにSiteGuard WP Pluginの存在を知り、今のあなたのようにいてもたってもいられなくなりました。


知らなければセキュリティなんて気にならないのですが、一度情報が入ってしまうと「すぐにやらなきゃ!ブログが乗っ取られてしまう!」と心配になりますよね。


では今すぐにやりましょう

okoblo

それまでの苦労が水の泡にならないように対策しておきましょう。

SiteGuard WP Pluginの機能


SiteGuard WP Pluginはとても多くのセキュリティ機能を持っています。


大きな機能では



SiteGuard WP Pluginの主な機能

  • 不正ログイン防止
  • 管理者以外の管理ページへのアクセス防止
  • コメントのスパムをブロック


という機能を持っています。

SiteGuard WP Pluginを使用する目的


目的はズバリ、「サイトのセキュリティを超強化する」です。


今のあなたのwordpressブログが悪意を持った人間に対してどれだけの脆弱性を抱えているか簡単に説明します。



あなたが今wordpressの管理を行うときに、まずは「ユーザー名」「パスワード」の入力を求められるページに行きますよね。これはログインページをいう場所で、ここに正しい「ユーザー名」「パスワード」を入れれば誰でも管理者として管理画面にアクセスできます。

このログインページのURLを見てみてください。




対策が必要なログインページURL

https://サイトURL/wp/wp-login.php
https://サイトURL/wp/wpwp-admin 


というURLではないでしょうか?



これを僕が知っているということは「僕はあなたのブログのログインページまで行ける」ということです。




あとは当てずっぽうでユーザー名とパスワードを入れればあなたのブログを好きにいじれてしまいます。



okoblo

機会的にランダムに入力されたらやばいですよね・・・

okoko

いつか突破されるわね・・・




マイナスからブログを始めた僕がログインページに行けるということはつまり、wordpressをやっている人なら誰でもログインページに行けるということです。


僕はあなたのことを知らないのでユーザー名とパスワードを推察することはできませんが、あなたの知人であればどうでしょうか?ニックネーム、メールアドレス、誕生日・・・時間をかければ突破される可能性は非常に高いですよね。



SiteGuard WP Pluginの機能のひとつに「ログインページURLを変更する」という機能があります。


このように様々な方法で様々なセキュリティを高めていくのがSiteGuard WP Pluginを使用する目的です。


SiteGuard WP Pluginのインストールから有効化



ダッシュボードの「プラグイン」から「新規追加」をクリック。



検索窓に「SiteGuard WP Plugin」と入力し、「今すぐイントール」をクリック。

有効化した瞬間ログインページが変更されます。ここからは作業を中断せず、通しで作業をしてください。



okoko

右のわんちゃんが気になって内容が入ってこないわ!

okoblo

ここの作業はときに集中してください。ログインできなくなる可能性すらあります。




インストールが終わったら有効化してください。



新しいログインページで再ログイン



すでにログインページが変更されているので管理画面最上部の「新しいログインページURLをブックマークしてください」をクリックします。



ちなみにこの時点で新しいログインページを知らせるメールも届いています。




クリックすると新しいログインページに移動します。

今までのhttps://サイトURL/wp/wp-login.php  https://サイトURL/wp/wpwp-admin というURLとは違い、ドメイン名の後ろがランダムな数字になっています。



この後、わかりやすいURLにさらに変更するのですが、念のためブックマークしておきましょう。


今まではなかった画像認証が追加されています。これは機械的に攻撃をしかけてくるシステムをブロックするためです。


okoblo

画像認証が追加されていてすでにセキュリティが上がっているのがわかります。





いつも通りのユーザー名、パスワードを入力し、画像認証の文字を入力してログインしてください。



SiteGuard WP Plugin各種設定


ここからダッシュボードの上から順に設定していきます。それぞれの設定で「保存」ボタンをクリックすることを忘れないでください。


管理ページアクセス制限



ここはOFFのままにしてください。


ログインページ変更


新しいログインページができたばかりですが、ランダムな数字だと万一忘れてしまったときにどうしようもなくなるので、わかりやすいURLに変更します。





ログインしたらダッシュボードの「SiteGuard」から「ログインページ変更」をクリック。





ドメイン以下を自分が覚えていられる、推察できるURLに変更します。「ブログ名」ではなく、親の誕生日や大切にしているものなど、普遍的なものがいいと思います。



「管理者ページからログインページへリダイレクトしない」にチェックを入れ、「保存」をクリック。
これでさっきの数字のログインページは無効になり、今設定したURLがさらに新しいログインページになります。次回からはこのURLでログインしましょう。





URLのメールが届いていますがブックマークもしておきましょう。


okoblo

そもそもの入り口をわからなくしてしまおうということです。

画像認証



ブログのメインターゲットが日本人であれば全て「ひらがな」を選択してください。


ひらがなにすることで海外からのスパムを強力にブロックしてくれます。


okoblo

ひらがなにすることで海外からの攻撃にとても強くなります。

ログイン詳細エラーメッセージの無効化



「ON」にします。

ログインページからログインを試みようとするユーザーに「ユーザー名が違います」「パスワードが違います」という表示を出さずに「違います」とだけ表示させることで「どの部分があっていてどの部分が違っているのか」ということをわからなくします。


okoblo

常に「両方違うよ」ということで特定を防ぎます。

ログインロック



ログインしようとしている期間と回数を設定すると、ログインに失敗したときに設定した期間ログインができなくなる機能です。


上の画像は30秒間に3回ログインに失敗した場合、1分間ログインできなくなる設定にしています。機械的にログインを試みるユーザーに対して効果が高いです。


okoblo

単純に機会的な攻撃の「回数」を減らすことができます。

ログインアラート



ログインする度にメールがくるのが嫌なので「OFF」にしています。


okoblo

自分がログインしたときもメールが来るのでうっとうしいです。お好みでonでもいいですよ。

フューエルワンス


正しくユーザー名とパスワードを入力しても、一度「ログインに失敗しました」と表示させます。次にもう一度入力するとログインできます。

悪意あるユーザーに対してフェイントをかける機能です。



okoblo

いちいち二回入力するのが面倒なので僕はOFFにしています。

XMLRPC防御



コメントがきたときやリンクを貼ったときにメールで通知がくるかを設定できます。

いちいちメールがくるのが面倒な方はピンバックの無効化にチェック。管理画面には通知がくるのでマメにブログを更新する方はチェックを入れていいと思います。

XMLRPCは他のプラグインに影響を与える可能性があるのでチェックをいれません。

最初のブログでXMLRPCからログインを試みた形跡があったので今はXMLRPCの無効化にチェックを入れている設定に変更しています。



okoblo

後述する「ログイン履歴」を確認したときにXMLRPCからログインを試みた記録があったのでチェックを入れるようにしました。

更新通知


更新できるプラグインやテーマがあるときにメールで通知してくれます。wordpress5,5からは自動更新できる設定ができたのでOFFでいいです。


okoblo

wordpress5,5からは放っておいても更新してくれるのでこの機能はいらないかなと思います。

WAFチューニングサポート



専門的な内容なのでデフォルトにままにしています。正直僕もよくわかっていません。




詳細設定



上に同じです。デフォルトでいいでしょう。

ログイン履歴



過去一万件のログイン履歴をみることができます。万一ブログにおかしな点があればここをチェックしましょう。



まとめ


いかがでしたでしょうか。

SiteGuard WP Pluginの詳細を説明できたかと思います。

このブログを順に読んでいてくれている方はこれで安心して記事を書き始めることができます。結構な数のプラグインも設定してきましたし、ちょうどよいタイミングでした。

もうすこしプラグインの設定が続きますが、僕が最初のブログを作ったときと比べたら全然楽です。もう少し頑張りましょう。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA