「SiteGuard WP Plugin」ロリポップ推奨WordPressの不正ログイン等の外部攻撃を防ぐ最強セキュリティプラグイン!



SiteGuard WP Pluginでブログ守るぜ!

皆様こんにちは!花粉症と言う名のスパム攻撃に体の免疫機能が働きすぎ、ノーズウォーターが止まらないミュンヘンのWeb担当mak utsunomiya(@munchen_stil)です!

まぁ~しかしですね。アレジオンのおかげなのかそろそろ花粉の時期も終りなのか、少しずつ楽になってきている今日この頃です。

しかし、鼻は攻撃されても何とか食い止めれますが、WordPressはTWENTY FOUR並みの警戒が必要です。寝てるときも攻撃されてるかも知れませんからし、データが飛んだら一巻の終わりですからね!

日中はリアルな仕事に追われ、夜はウイイレで全国のヘビーユーザーさんとの戦いで心身ともに衰弱しきっていたので、ブログ更新もままならなかったのですが、ひとまず両方落ち着いてきたので、久々WordPressプラグインのネタを書いてみたなと思います^^

 

セキュリティプラグイン「SiteGuard WP Plugin」導入

WordPressは何かと脆弱性を指摘されていて、日常的にブルートフォースアタックの総攻撃にさらされていると言うことなのですが、私はセキュリティ万全なエックスサーバーさんを利用しているので心配無用なのです。

しかししかし、いくらセキュリティ万全と言っても所詮は人任せ。自分の身は自分で守れって事で今現在最新だと思われるプラグインSiteGuard WP Pluginをインストールしてみることにしました。

そういえば数ヶ月前、ロリポップさんからこのプラグインを入れる事をおすすめします!なんてメールが来てたような気がします。

それだけこのプラグインが優秀なのか、ロリポップさんのサーバーが相変わらず脆弱なのか(失礼)わかりませんが、ともかく導入してみたいと思いますね^^

 

導入方法

siteguard-wp-plugin4

  • プラグイン新規追加 > SiteGuard WP Plugin
  • プラグインを有効化
  • ログインページURL変更 > 新ログインURLをお気に入りに追加
  • 管理画面 > SiteGuardから各種設定

 

 

siteguard-wp-plugin1

siteguard-wp-plugin2

 

SiteGuard WP Pluginが出来る事

  •  管理ページアクセス制限
  •  ログインページ変更
  •  画像認証
  •  ログイン詳細エラーメッセージの無効化
  •  ログインロック
  •  ログインアラート
  •  フェールワンス
  •  ピンバック無効化
  •  更新通知
  •  WAFチューニングサポート

こんな風な設定が簡単に出来るようになっています。日本企業のJP-Secureさんが作ったプラグインですので、全て日本語。

今まで、セキュリティプラグインを試そうと思っていたのですが、英語ななだけに内容が複雑怪奇だったので導入に二の足を踏んでいたのですが、これなら簡単!

と言うか、私のWordPressプラグイン導入のポリシーとしては、簡単なモノしか使わないって言うヤツです^^

それでは一項目ずつ解説していきましょう!

 

注意!ログインURLが変わります!

siteguard-wp-plugin3
インストールしたら、管理画面にURL変更のコメントが出ています。メールにも変更の通知が来ますが、忘れないように速攻でお気に入りに登録しておきましょう。

 

管理ページアクセス制限

siteguard-wp-plugin5
この機能をONにすると、ログインしている人以外は管理画面へアクセスできません。ログインしている人以外には404エラーが出ます。

不正に管理画面にアクセスしようとする輩を排除する事が出来ますので、是非ONにしておきましょう!

 

ログインページ変更

siteguard-wp-plugin6
通常のログインURLは、「http://〇〇〇〇.com/wp-login.php」になっていますが、ログインページ変更を設定する事によって、「http://〇〇〇〇.com/login_〇〇〇〇」のように任意のURLに変更できるようになります。

WordPressの管理画面URLは必ず「~wp-login.php」になっていますので、機械的に攻撃を仕掛ける輩にとっては、管理画面に入ることはそれ程難しい事ではありません。

それを防いでくれる設定です。任意で設定できますが、後で自分自身がログインできなくなると大変ですので、変更後はすぐにお気に入りに登録しておく事を推奨します。

 

画像認証

siteguard-wp-plugin8
ログイン画面やコメントページに、画像認証を追加してくれる設定項目です。デフォルトでONになってるので必須項目かと思います。

ひらがなではなんとなくかっこ悪いので、私は英数字にしています。カッコ大切です^^

設定後の管理画面はこんな風になっています。

 

ログイン詳細エラーメッセージの無効化

siteguard-wp-plugin9

他の管理画面セキュリティでは、なぜログインに失敗したのかをご丁寧に教えてくれるのですが、これでは攻撃者に対してヒントを与えているようなものです。

そういった失敗情報を隠すことが出来るのがこの設定になります。ONにしておきましょう。

 

ログインロック

siteguard-wp-plugin10
ここで指定した回数ログインに失敗すると、任意の時間ログインできなくなります。ブルートフォースアタックはコンピュータで短期間に大量のログイン試行を行うので、必ず設定しておきましょう。

IPアドレス事に管理されているようですね!

 

ログインアラート

siteguard-wp-plugin11
デフォルトでONになってますが、ここをONにしておく事で、身に覚えのないログインがあった場合に、メールで通知してくれます。

不正ログインにいち早く気が付く事もできますし、自身のサイトがどれだけの攻撃を受けているかの指標を図ることができ、今後の対策を打ちやすくなります。

 

フェールワンス

siteguard-wp-plugin12

正しいログインIDとパスを入力しても一度だけ失敗する機能です。メンドくさいので私はOFFにしていますが、念には念をという方はONにしておきましょう。

でも結構頻繁にアクセスする方は本当にメンドクサイです。

 

ピンバック無効化

siteguard-wp-plugin13
他サイトのWordPressからリンクを貼ってもらった場合に、自サイトに相手方のURLが勝手に出てくる機能がピンバックです。

つまり、自動で相互リンクできてしまうのですが、これを悪用し被リンクを勝手に増やしたり、当ブログくらいの規模なら大丈夫でしょうが、30万pvを超えるような人気ブログにピンバックを送信し、そこから特定のサイトへ悪意ある大量のアクセスを流し込み、サーバーをダウンさせる攻撃も過去にあったようです。

出来ればONにして、悪質なピンバックからブログを保護しましょう。

 

更新通知

siteguard-wp-plugin14
WordPressもプラグインも常に最新の更新状態を保っておく事がセキュリティの第一歩になります。このプラグインでは、常に最新のセキュリティを提供することによりブログを保護する事が可能になっています。

その更新状況を、メールで通知してくれる機能です。このプラグインを開発したJP-Secureさんの本気度が垣間見れる機能ですね!スゴイ!

 

WAFチューニングサポート

siteguard-wp-plugin15
WAFとはウェブアプリケーションファイアウォールの略です。不正侵入を防ぐ機能なのですが、WAFがすでに導入されているレンタルサーバーなどは、通常のアクセスを悪意あるアクセスとして誤検地してしまう事があります。

主に、ロリポップ、ヘテムル、さくらなどのサーバーを利用している方は、設定しておきましょう。

当ブログはエックスサーバーなのでOFFとしています。

 

まとめ

何度も言うようにエックスサーバーは強固なセキュリティが施されていますが、サイバー攻撃とセキュリティは常にいたちごっこなのです。

全てを、サーバー側のせいにしないように、自身のブログは自身で守っていくために。導入してはいかがでしょうか?

日本の企業が作っているプラグインですし、設定も簡単。少なからずセキュリティに不安がある方は導入してみて下さい。

普段GMOさんから、沢山のご提案を頂いているのであまり辛口なコメントはしたくないのですが、セキュリティをプラグインに丸投げはダメですよ!

その点、エックスサーバーでよかったなと思っている花粉症から解放されつつある私の感想です^^

関連記事

トップページに戻る

アーカイブ

Twitter

ページ上部へ戻る