WordPressは安全?脆弱性を狙った攻撃からサイトを守ろう
WordPressは、世界中の多くのユーザーに利用されている人気のCMS。しかしその人気さゆえに、ハッカーによる攻撃のターゲットにもなりやすいという側面があります。
WordPressには常に新しい脆弱性が発見されており、対策を怠るとサイト改ざんや個人情報漏洩などの被害に遭う可能性が。
初心者にとってWordPressのセキュリティ対策は難しく、何から始めればいいのか分からないという人も多いでしょう。そこでおすすめなのが『 SiteGuard WP Plugin 』セキュリティ対策プラグインです。
『SiteGuard WP Plugin』は、主にWordPressログインページからのハッキングを対象とした対策プラグイン。以下の様な特徴があります。
- 1.
- 脅威情報に基づいて、サイトを自動で監視・保護。ログインページ変更や認証画面の導入・ログイン試行回数制限など、様々な対策機能でハッカーの侵入を防ぎます。
- 2.
- SiteGuard WP Pluginは、日本企業が運営するセキュリティプラグイン。当然ながら日本語で設定画面が表示されるので、英語が苦手な方でも安心です。また設定画面はシンプルで分かりやすく、初心者でも簡単に設定することができます。
- 3.
- SiteGuard WP Pluginは、無料版でも基本的なセキュリティ対策機能を利用することができます。有料版ではさらに高度な機能が利用可能になりますが、無料版でも多くのサイトにとって十分な機能が提供されています。
SiteGuard WP Pluginを導入する前の注意
SiteGuard WP Pluginを有効化すると、自動的にログインページのURLが変更されます。
以下の画面が表示されますので、慌てず新ページに移動後ブックマークして下さい。
また、WordPressを登録したメールボックスにURL変更の通知が届いているはずですので、そちらもご確認下さい。
なお、ログインページはプラグインの設定にて後から元に戻す事も可能。プラグインを停止・削除する操作でも戻せます。
以上を踏まえた上で、SiteGuard WP Pluginのインストール・設定項目の解説に移ります。
SiteGuard WP Pluginのインストール
まずは『プラグイン』⇒『新規プラグインを追加』より『SiteGuard WP Plugin』を検索して『今すぐインストール』⇒『有効化』でOK。
※この時点でログインページが変更されていますのでご注意ください。
次より、詳細な設定内容に進みます。
筆者が推奨する7つの設定
SiteGuard WP Pluginは、11個の設定項目で構成されています。設定自体は難しくありませんが、全ての設定が必要とは思えません。セキュリティは重要ですが、設定が煩雑だとサイト制作のモチベーションが下がることもあります。
そこで今回は、筆者が必須と考える7つの設定に絞って解説します。詳細な設定に興味がある方は、プラグイン各項目の説明を参照してください。
以下の表より、『筆者の設定』をONにした項目のみ解説します。
設定項目 | 初期状態 | 筆者の設定 |
管理ページアクセス制限 | OFF | OFF |
ログインページ変更 | ON | ON |
画像認証 | ON | ON |
ログイン詳細エラーメッセージの無効化 | ON | ON |
ログインロック | ON | ON |
ログインアラート | ON | ON |
フェールワンス | OFF | OFF |
XMLRPC防御 | ON | ON |
ユーザー名漏えい防御 | OFF | ON |
更新通知 | ON | OFF |
WAFチューニングサポート | OFF | OFF |
ログインページ変更
先述の項目。本プラグインをインストール ⇒ 有効化で自動的にログインページが変更されます。具体的には、
- ● https:// サイトURL / wp-login.php が、
- ● https:// サイトURL / login_〇〇〇〇〇(5桁の乱数)
に切り替わります。この login_〇〇〇〇〇 の部分は好きなテキストに変更する事も可能。いずれにしても、
また、ページ下段『管理者ページからログインページにリダイレクトしない』にチェックを入れる事を忘れずに。
ご存知の方も多いと思いますが、WordPressは『 https:// サイトURL / wp-admin 』と入力すると正規のログインページへリダイレクト(転送)される仕様。
前述の『管理者ページからログインページに…』にチェックが入っていない場合、『 サイトURL / wp-admin 』の検索で変更したログインページに転送されてしまいます。
つまり、いくらURLを変更しても簡単にログインページを知られてしまうという事ですのでご注意ください。
※なお、ログインページのブックマークを忘れてしまった場合の対処方法も、本トピック後半にて解説します。必要に応じてご参照ください。
画像認証
画像認証も、前述『ログインページ変更』と同様プラグイン有効化と同時にONに設定されています。ログインページが以下の様に切り替わっていればOK。
認証用の文字はひらがなと英数字が選択できます。初期設定ではひらがな4文字がランダムに表示されますが、海外経由のハッキングから防御するにはこれが一番かと。
また、これはメインのログインページの他『コメントページ』『パスワード確認ページ』『ユーザー登録ページ』等にも設定が可能のようです。
人によっては、認証する文字数が4文字だと少なく感じるかも知れません。ですが前述『ログインページの変更』や長いパスワード等と組み合わせる事で、強固なセキュリティを期待できると思います。
ログイン詳細エラーメッセージの無効化
通常、WordPressへのログイン時にパスワードが違っていると『エラー:ユーザー名〇〇〇〇のパスワードが間違っています。パスワードをお忘れですか?』と警告が表示されます(下図左側)。これでは『ユーザー名自体は間違っていない』と侵入者にヒントを与えているようなものです。
『ログイン詳細エラーメッセージの無効化』を有効に設定する事で、どんなミスの場合でも『エラー:入力内容を確認の上、もう一度送信して下さい。』とヒントを与えないメッセージに変更されます(下図右側)。
設定も設定画面で『有効』を押下するのみ。初期状態で『有効』に設定されているはずですが、念のため確認して下さい。
ログインロック
ログインロックは、一定時間内に設定した回数のログインを失敗した場合、ログイン自体が出来なくなる機能。以下の画像の様な設定だと、『5秒以内に3回ログインに失敗すると1分間ログイン自体が試せなくなる』という事になります。
『5秒間の間に3回のログイン試行!?…早すぎでしょ?』と感じる方もいるかと思います。ですが攻撃を仕掛けてくるプログラムは、パスワードやログインIDを片っ端から高速解析しようと試みます。
手動では無くウィルスによる自動的な侵入を防御する策としては、短い時間・少ない回数を設定しても一定の効果があると言えるでしょう。
より高い防御力を求めるのなら、最大値(間隔:30秒、回数:3回、ロック時間:5分)に設定する手段も有効です。ですが、ユーザー本人がログインに失敗した場合も設定時間内はログインできないのでご注意を。
なお、ログインロックは同一のIPアドレスから連続で攻撃を受けた際に効果を発揮します。例えば、侵入者がログイン試行毎にIPアドレスを変えてくるような巧妙な手段を使ってくる場合はロックできないのでご理解下さい。
ログインアラート
ログインアラートを『有効』に設定していると、ログインする度にメールが送信されます。
一日に何度も更新するサイトの場合、毎回送られてくるメールがウザく感じるかも知れません。ですがサイトを守る手段としてはかなり有益な機能です。
できれば『有効』に設定する事をおすすめします。
XMLRPC防御
XMLRPC防御について、これを『有効』とする事でサイトの一部またはプラグインの挙動がおかしくなる事が無ければ『有効』に設定する事をおすすめします。『タイプ』項目について、特に『XMLRPC無効化』にチェックを入れる事でセキュリティの強度が上がります。
ユーザー名漏えい防御
WordPressは例えユーザー名を変更しても、ある方法で割と簡単に割り出されてしまいます。以下のリンク先冒頭にて解説していますので宜しければご確認下さい。
ワードプレスはログインIDやユーザーパスワードが漏洩しやすいという話 ワードプレスはデフォルトの状態では誰でも運営者のログインページに辿り着く事が出来ます。デフォルトの各ログインページのURLは、以下の通りです。 ht …
上記リンク先では、ユーザー名の漏洩を防止するため『Edit Auther Slug』プラグインの使用を推奨していますが、SiteGuard WP Pluginなら設定を『有効』に切り替えるだけで同様の漏洩防止機能が働きます。
どちらも安全性が高いプラグインと思います。ですがSiteGuard WP Pluginを導入するなら、こちらの『ユーザー名漏えい防御』で設定しても良いでしょう。
以上が今回推奨・設定した7項目です。続いて、変更されたログインページのURLが分からなくなってしまった場合の対処方法を解説します。
ログインページURLが分からない場合の対処方法
ログインページのURLについて、ブックマークがされていなくともメールにも情報が残っているはずです。ですが両方とも確認ができない場合、FTPツールを使って確認する方法が簡単です。
FTPツールの導入方法と基本的な使い方については、以下のリンクよりご確認ください。
WordPress 定番のFTPツール『Filezilla』の導入と設定 今回は、ワードプレスのバックアップファイルをアップロードする方法を解説。無料FTPツールの定番『Filezilla(ファイルジラ)』を使用します …
FTPツールの使用方法が分かりましたら、接続後『サイトフォルダ』⇒『public_html』の順に進み、『.htaccess』ファイルをダウンロード。
テキストエディタでファイルを開き、中段あたりで以下のコードを確認します。
中央の『login_〇〇〇〇〇』が、サイトの末尾に追記される部分。具体的には、以下の形になります。
https:// サイトURL / login_〇〇〇〇〇
『ログイン履歴』を確認しよう
設定項目では無いですが、SiteGuard WP Pluginダッシュボードの最下段『ログイン履歴』も時々確認するようにしましょう。
ログイン履歴には、自身がログインした日時の記録の他、ウィルスなど第三者によるログイン試行履歴も残ります。
筆者がSiteGuardを導入して間もないころ、ログイン履歴を確認してウィルスによる大量のアクセスに驚いた記憶があります。各設定を行っていたので侵入された形跡はなかったのですが、『ログインページも変更したのに、どうやってページを見つけたんだろう?』と疑問に感じました。
そこで設定を見直していると、『ログインページ変更』の『管理者ページからログインページにリダイレクトしない』にチェックが入っていないことに気付きました。
つまり『サイトURL / wp-admin』経由でリダイレクトされたウィルスが、新しいログインページにたどり着いていたという事です。
乗っ取られる事も無く幸いでしたが、『ログイン履歴』を確認しなければ気付かなかった可能性もあります。
SiteGuard WP Pluginを導入する際は、この辺りの確認も怠らないようお気を付けください。