WordPressを安全に!おすすめのセキュリティ対策プラグイン-main-

WordPressは安全?脆弱性を狙った攻撃からサイトを守ろう

WordPressは、世界中の多くのユーザーに利用されている人気のCMS。しかしその人気さゆえに、ハッカーによる攻撃のターゲットにもなりやすいという側面があります。

WordPressには常に新しい脆弱性が発見されており、対策を怠るとサイト改ざんや個人情報漏洩などの被害に遭う可能性が。

初心者にとってWordPressのセキュリティ対策は難しく、何から始めればいいのか分からないという人も多いでしょう。そこでおすすめなのが『 SiteGuard WP Plugin 』セキュリティ対策プラグインです。

『SiteGuard WP Plugin』は、主にWordPressログインページからのハッキングを対象とした対策プラグイン。以下の様な特徴があります。

1. 24時間365日サイトを自動で監視・保護
脅威情報に基づいて、サイトを自動で監視・保護。ログインページ変更や認証画面の導入・ログイン試行回数制限など、様々な対策機能でハッカーの侵入を防ぎます。

2. 日本語で安心!初心者でも簡単に設定
SiteGuard WP Pluginは、日本企業が運営するセキュリティプラグイン。当然ながら日本語で設定画面が表示されるので、英語が苦手な方でも安心です。また設定画面はシンプルで分かりやすく、初心者でも簡単に設定することができます。

3. 無料版でも十分な機能
SiteGuard WP Pluginは、無料版でも基本的なセキュリティ対策機能を利用することができます。有料版ではさらに高度な機能が利用可能になりますが、無料版でも多くのサイトにとって十分な機能が提供されています。


SiteGuard WP Pluginを導入する前の注意

SiteGuard WP Pluginを有効化すると、自動的にログインページのURLが変更されます。

以下の画面が表示されますので、慌てず新ページに移動後ブックマークして下さい。

 WordPressを安全に!おすすめのセキュリティ対策プラグイン_01



また、WordPressを登録したメールボックスにURL変更の通知が届いているはずですので、そちらもご確認下さい。

なお、ログインページはプラグインの設定にて後から元に戻す事も可能。プラグインを停止・削除する操作でも戻せます。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_02



以上を踏まえた上で、SiteGuard WP Pluginのインストール・設定項目の解説に移ります。



SiteGuard WP Pluginのインストール

まずは『プラグイン』⇒『新規プラグインを追加』より『SiteGuard WP Plugin』を検索して『今すぐインストール』⇒『有効化』でOK。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_03


※この時点でログインページが変更されていますのでご注意ください。

次より、詳細な設定内容に進みます。



筆者が推奨する7つの設定

SiteGuard WP Pluginは、11個の設定項目で構成されています。設定自体は難しくありませんが、全ての設定が必要とは思えません。セキュリティは重要ですが、設定が煩雑だとサイト制作のモチベーションが下がることもあります。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_04



そこで今回は、筆者が必須と考える7つの設定に絞って解説します。詳細な設定に興味がある方は、プラグイン各項目の説明を参照してください。

以下の表より、『筆者の設定』をONにした項目のみ解説します。

設定項目初期状態筆者の設定
管理ページアクセス制限OFFOFF
ログインページ変更ONON
画像認証ONON
ログイン詳細エラーメッセージの無効化ONON
ログインロックONON
ログインアラートONON
フェールワンスOFFOFF
XMLRPC防御ONON
ユーザー名漏えい防御OFFON
更新通知ONOFF
WAFチューニングサポートOFFOFF


ログインページ変更

先述の項目。本プラグインをインストール ⇒ 有効化で自動的にログインページが変更されます。具体的には、

  • ● https:// サイトURL / wp-login.php が、
  • ● https:// サイトURL / login_〇〇〇〇〇(5桁の乱数)

に切り替わります。この login_〇〇〇〇〇 の部分は好きなテキストに変更する事も可能。いずれにしても、変更したログインURLをブックマークする事を忘れないで下さい。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_05



また、ページ下段『管理者ページからログインページにリダイレクトしない』にチェックを入れる事を忘れずに。

ご存知の方も多いと思いますが、WordPressは『 https:// サイトURL / wp-admin 』と入力すると正規のログインページへリダイレクト(転送)される仕様。

前述の『管理者ページからログインページに…』にチェックが入っていない場合、『 サイトURL / wp-admin 』の検索で変更したログインページに転送されてしまいます。

つまり、いくらURLを変更しても簡単にログインページを知られてしまうという事ですのでご注意ください。

※なお、ログインページのブックマークを忘れてしまった場合の対処方法も、本トピック後半にて解説します。必要に応じてご参照ください。



画像認証

画像認証も、前述『ログインページ変更』と同様プラグイン有効化と同時にONに設定されています。ログインページが以下の様に切り替わっていればOK。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_06



認証用の文字はひらがなと英数字が選択できます。初期設定ではひらがな4文字がランダムに表示されますが、海外経由のハッキングから防御するにはこれが一番かと。

また、これはメインのログインページの他『コメントページ』『パスワード確認ページ』『ユーザー登録ページ』等にも設定が可能のようです。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_07



人によっては、認証する文字数が4文字だと少なく感じるかも知れません。ですが前述『ログインページの変更』や長いパスワード等と組み合わせる事で、強固なセキュリティを期待できると思います。



ログイン詳細エラーメッセージの無効化

通常、WordPressへのログイン時にパスワードが違っていると『エラー:ユーザー名〇〇〇〇のパスワードが間違っています。パスワードをお忘れですか?』と警告が表示されます(下図左側)。これでは『ユーザー名自体は間違っていない』と侵入者にヒントを与えているようなものです。

ログイン詳細エラーメッセージの無効化』を有効に設定する事で、どんなミスの場合でも『エラー:入力内容を確認の上、もう一度送信して下さい。』とヒントを与えないメッセージに変更されます(下図右側)。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_08



設定も設定画面で『有効』を押下するのみ。初期状態で『有効』に設定されているはずですが、念のため確認して下さい。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_09



ログインロック

ログインロックは、一定時間内に設定した回数のログインを失敗した場合、ログイン自体が出来なくなる機能。以下の画像の様な設定だと、『5秒以内に3回ログインに失敗すると1分間ログイン自体が試せなくなる』という事になります。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_10



5秒間の間に3回のログイン試行!?…早すぎでしょ?』と感じる方もいるかと思います。ですが攻撃を仕掛けてくるプログラムは、パスワードやログインIDを片っ端から高速解析しようと試みます。

手動では無くウィルスによる自動的な侵入を防御する策としては、短い時間・少ない回数を設定しても一定の効果があると言えるでしょう。

より高い防御力を求めるのなら、最大値(間隔:30秒、回数:3回、ロック時間:5分)に設定する手段も有効です。ですが、ユーザー本人がログインに失敗した場合も設定時間内はログインできないのでご注意を。

なお、ログインロックは同一のIPアドレスから連続で攻撃を受けた際に効果を発揮します。例えば、侵入者がログイン試行毎にIPアドレスを変えてくるような巧妙な手段を使ってくる場合はロックできないのでご理解下さい。



ログインアラート

ログインアラートを『有効』に設定していると、ログインする度にメールが送信されます。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_11



一日に何度も更新するサイトの場合、毎回送られてくるメールがウザく感じるかも知れません。ですがサイトを守る手段としてはかなり有益な機能です。

できれば『有効』に設定する事をおすすめします。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_12



XMLRPC防御

XMLRPC防御について、これを『有効』とする事でサイトの一部またはプラグインの挙動がおかしくなる事が無ければ『有効』に設定する事をおすすめします。『タイプ』項目について、特に『XMLRPC無効化』にチェックを入れる事でセキュリティの強度が上がります。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_13



ユーザー名漏えい防御

WordPressは例えユーザー名を変更しても、ある方法で割と簡単に割り出されてしまいます。以下のリンク先冒頭にて解説していますので宜しければご確認下さい。



上記リンク先では、ユーザー名の漏洩を防止するため『Edit Auther Slug』プラグインの使用を推奨していますが、SiteGuard WP Pluginなら設定を『有効』に切り替えるだけで同様の漏洩防止機能が働きます。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_14



どちらも安全性が高いプラグインと思います。ですがSiteGuard WP Pluginを導入するなら、こちらの『ユーザー名漏えい防御』で設定しても良いでしょう。

以上が今回推奨・設定した7項目です。続いて、変更されたログインページのURLが分からなくなってしまった場合の対処方法を解説します。



ログインページURLが分からない場合の対処方法

ログインページのURLについて、ブックマークがされていなくともメールにも情報が残っているはずです。ですが両方とも確認ができない場合、FTPツールを使って確認する方法が簡単です。

FTPツールの導入方法と基本的な使い方については、以下のリンクよりご確認ください。



FTPツールの使用方法が分かりましたら、接続後『サイトフォルダ』⇒『public_html』の順に進み、『.htaccess』ファイルをダウンロード。

テキストエディタでファイルを開き、中段あたりで以下のコードを確認します。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_15



中央の『login_〇〇〇〇〇』が、サイトの末尾に追記される部分。具体的には、以下の形になります。

 https:// サイトURL / login_〇〇〇〇〇



『ログイン履歴』を確認しよう

設定項目では無いですが、SiteGuard WP Pluginダッシュボードの最下段『ログイン履歴』も時々確認するようにしましょう。

ログイン履歴には、自身がログインした日時の記録の他、ウィルスなど第三者によるログイン試行履歴も残ります。

筆者がSiteGuardを導入して間もないころ、ログイン履歴を確認してウィルスによる大量のアクセスに驚いた記憶があります。各設定を行っていたので侵入された形跡はなかったのですが、『ログインページも変更したのに、どうやってページを見つけたんだろう?』と疑問に感じました。

そこで設定を見直していると、『ログインページ変更』の『管理者ページからログインページにリダイレクトしない』にチェックが入っていないことに気付きました。

つまり『サイトURL / wp-admin』経由でリダイレクトされたウィルスが、新しいログインページにたどり着いていたという事です。

乗っ取られる事も無く幸いでしたが、『ログイン履歴』を確認しなければ気付かなかった可能性もあります。

SiteGuard WP Pluginを導入する際は、この辺りの確認も怠らないようお気を付けください。

WordPressを安全に!おすすめのセキュリティ対策プラグイン_16