SiteGuard WP Pluginの使い方

この記事のURLとタイトルをコピーする

この記事を読むのに必要な時間は約 20 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)

SiteGuard WP Pluginは、セキュリティ系 プラグインとしてよく使われています。
また、サーバーの機能で WordPressのインストール時に含まれている場合も多いです。
筆者のレンタルサーバー使用経験の中ではCPIサーバーはそうなっていますね。ただ、2020年10月現在の中で WordPressのバージョンは古いですけど・・・
今回は、SiteGuard WP Pluginの設定や使い方・特徴について解説します。

 

目 次

インストールしたらどうなる?

SiteGuard WP Plugin
SiteGuard WP Pluginをインストールしたらどうなるのか?
インストールしたら下記のようになります。

  • ログイン時に日本語入力が必要になります。
  • ログインページのアドレスが変更されます。
  • 管理画面の左側メニューにSiteguardが追加されます。

ログイン時に日本語入力といってもひらがな4文字ですが、これがあることによって海外からのログイン試行は、減りますね。
基本、日本語入力が困難なので・・・
ただ、次のログインページの変更はあまり意味がありません。
ちょっとマシって感じで考えてください。
(/login.php)が(/login_*****.php)に変更されます。
ただ(/wp-admin/)にアクセスされると簡単にログインページが開きます。
万が一の時のために別の対策もしておいた方が乗っ取りを防げる可能性は高くなります。
知っておいてほしいのは、どこまでやっても完璧というものは存在しないということ

 

必要性

セキュリティ
なぜ、必要なのか?
 WordPressは、使っている方すべてがドメイン以下同じアドレスを使うということ
それはある意味、脆弱性をつきやすいということです。
ユーザー名とパスワードだけではブロックできないことも多いのです。
ではちゃんと防御するためにどうするのか?
ということになります。
そこで筆者の場合はSiteGuard WP PluginJetpackを使って防御しているのです。
不正ログイン回数などチェックしてみると意外にも多いことに気づくこともありますよ。
不正ログインされないためにも プラグインを使ってできる防御をしておくべきなのです。

 

ダッシュボード

ダッシュボード
ダッシュボードでは、設定状況とログイン履歴を確認することができます。
設定状況では、機能リストの先頭のチェックの色で、機能の有効/無効を表しています。緑のチェックが有効、グレーのチェックが無効の状態です。

 

ログイン履歴

ログイン履歴
ログイン履歴が上記画像のように記録されています。
赤の塗りつぶしは、セキュリティのために塗りつぶしていますが、ログイン成功ということは、正しいユーザー名とIPアドレスが記録されています。
正しいものばかりならいいですが、時にユーザー名にadminとか入ってるのを確認したら要注意
使ってないIPアドレスでログイン失敗などとあれば不正ログインの痕跡です。
意外とよくあるので定期的にチェックされることをおすすめします。
また、以前記事でユーザー名にadminを使わないように注意喚起しました。

WordPressのユーザーIDにadminを使ってはいけない理由WordPressでユーザーIDをadminにしてはいけない理由
ルートディレクトリに置かれている場合があるのです。 多くの場合は、不正メール送信の踏み台にされています。上記画像の選択され...

ユーザー名をadminにして乗っ取りされた事例は多く見受けられています。
くれぐれも注意してください。

 

設定

設定の方法や言葉の意味・考え方などを個別に解説します。
セキュリティに関することなので注意して実行してくださいね

 

管理ページアクセス制限

管理ページアクセス制限
管理画面の中でアクセスを制限できるのですが、該当ページのアドレスを見てファイル名を入力しておく必要があるみたいですね。
個人事業主の皆さんは基本的に1人でやってる方も多いのでそこまで必要ないかもしれません。

 

ログインページ変更

ログインページ変更
インストールして プラグインを有効化すると自動的にファイル名に5桁の数字をつけてアドレスが変更されます。
先述の通りあまりこれには意味がないのですが・・・

 

画像認証

画像認証
画像認証もインストールして プラグインを有効化すると自動的に上記画像のように表示されます。
設定については、下記を参考にしてください。

画像認証 設定
設定しだいで画像認証を無効化したり日本語だけでなくアルファベットにも変更できるのですが日本語をおすすめします。
海外からの不正ログイン試行ではほぼ日本語入力ができずに未遂に終わることもあります。

 

ログイン詳細エラーメッセージの無効化

ログインエラーメッセージ
ONとOFFを切り替えます。デフォルトはONです。
設定内容を保存するには、「変更を保存」ボタンをクリックしてください。

 

ログインロック

ログインロック
機能のON/OFFの切替と、ログインロックの詳細設定を行います。
ONとOFFを切り替えます。デフォルトはONです。
ログインロックの期間の設定は、以下の3種類です。

  • 1秒
  • 5秒(デフォルト)
  • 30秒

ログインロックの回数の設定は、以下の3種類です。

  • 3回(デフォルト)
  • 10回
  • 100回

ログインロックのロック時間の設定は、以下の3種類です。

  • 30秒
  • 1分(デフォルト)
  • 5分

設定内容を保存するには、「変更を保存」ボタンをクリックしてください。
ログインロックの時間は、デフォルトで問題ありません。
回数についてもデフォルトで増やすとよろしくないでしょう。
通常、ブラウザにIDとパスワード保存している方が多くいる中で増やす必要性がないです。
ブラウザにIDとパスワードを保存すること自体、セキュリティ的によろしくないですが、個人事業主で本人しか使わないパソコンであればそうするのも仕方ないかもしれません。
そういった理由で本人であれば間違うことないでしょってことで回数を増やす必要なしってことです。
ロック時間については、万が一に備えて長く設定するのもアリかもしれません。

 

ログインアラート

ログインアラート
この機能は、ログインするごとに WordPressに登録されたユーザーのメールアドレスにメールが届く機能です。
何もなければ面倒なだけですが、OFFにしないようにしたいですね。

 

フェールワンス

フェールワンス
フェールワンスって聞きなれない言葉だと思いますが、この機能は正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
この機能を入れると面倒ではありますが、正しいパスワード入れられても間違っていると判断して相手があきらめやすくなるということですね。
リスト攻撃を受けにくくするための機能です。

 

XMLRPC防御

XMLRPC防御
XML-RPCって何?
って方も多いでしょう。
XML-RPCは、 WordPressと他のシステム間の通信を可能にする仕様です。トランスポートメカニズムとしてHTTPを、エンコードメカニズムとしてXMLを使用して、通信を標準化することによりこれが実現しています。
ただ同時に脆弱性ももたらします。そしてXML-RPCがやっていたことを今ではREST APIなるものが機能を受け継いでおります。
機能で言うとモバイルアプリでの更新作業やトラックバックやピンバックなど
サイトでxmlrpc.phpを無効にする必要がある主な理由は、セキュリティの脆弱性が発生し、攻撃の対象になる可能性があるためです。
XML-RPCが WordPressの外部と通信する必要がなくなったため、XML-RPCを有効にしておく理由はどこにもありません。これを無効にして、サイトのセキュリティを強化するのが賢明です。
そのための機能がXMLRPC防御になります。
無効化しておく方がいいですね。

 

更新通知

更新通知
更新通知については WordPressの更新の3種類についてになります。
本体のアップデート・テーマ プラグインについてです。
アクティブなものだけとかできますが、無効にすることはやめた方がいいです。
基本的には不具合を解消するためのアップデートがかなり多いですから・・・

 

WAFチューニングサポート

WAFチューニングサポート
レンタルサーバーによっては、セキュリティのためにSiteGuard LiteをWAFに使ってる場合が多いのです。
WAFとは、Web Application Firewall(ウェブアプリケーションファイヤーウォール)の略です。

Web Application Firewallとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

レンタルサーバーのユーザーとしてセキュリティがあがっていいことなのですが、時に誤動作することもあるのです。その事例が下記です。

ログインできない場合WordPressにログインできません CPIサーバー編
今回は、実際にあった事例を元に解説します。 WordPressにログインできないという現象 これ、意外とよくあるのです。 その中でも今回...

誤動作する部分をWAFを無効化させる機能ですが、いろいろと調整も必要なようです。

 

詳細設定

詳細設定
クライアントIPアドレスの取得方法を変更します。
通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-Forの値の右端から何番目かを表します。

 

まとめ

セキュリティ
SiteGuard WP Pluginには、いろんな機能がありましたね。
 WordPressのセキュリティを守るために活用した方が安全で無難だと筆者は、思ってます。
もう1度あなたの WordPressのセキュリティ見直してみませんか?
より安全に使うために活用してください!

 


 

WEBのことならくまはちLABにお任せください。

サービス 制作事例
お問い合わせ
LINEスタンプ
LINE@友だち追加

くまはちLABのご利用ありがとうございます!
くまはちLABの最新情報をフォローしてゲットしてください!