セキュリティを向上させるプラグイン「SiteGuard WP Plugin」

レンタルサーバー:ロリポップは2014年10月24日よりセキュリティプラグイン「SiteGuard WP Plugin」をWordPress簡単インストールに標準搭載しています。インストールと設定方法を説明しましょう。

w-08

「SiteGuard WP Plugin」のインストール方法

プラグイン新規追加より「SiteGuard WP Plugin」を検索します。

w-01

「SiteGuard WP Plugin」が表示されます。「今すぐインストール」をクリックします。

w-02

「プラグインを有効化」をクリックします。

w-03

この時点でログインページURLが変更されます。あとで元に戻すこともできます。

w-04

「SiteGuard WP Plugin」の設定方法

メニューに「SiteGuard」が追加されます。ダッシュボードをクリックします。

w-05

設定状況一覧が開きます。ひとつづつ説明しましょう。
それぞれ設定が完了したら「変更を保存」をクリックしましょう。

w-06

管理ページアクセス制限

2015y02m05d_142814411

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

ログインページ変更

2015y02m05d_142842723

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

画像認証

2015y02m05d_142931896

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

このようにひらがなによる承認が設置されます。

2015y02m05d_143938528

ログイン詳細エラーメッセージの無効化

2015y02m05d_143050661

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログインロック

2015y02m05d_143113058

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。

ログインアラート

2015y02m05d_143644812

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)XML-RPCによるアクセスは通知されません。

フェールワンス

2015y02m05d_143717439

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

ピンバック無効化

2015y02m05d_143743035

ピンバック機能を無効にし、悪用を防ぎます。

更新通知

2015y02m05d_143802641

セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

WAFチューニングサポート

2015y02m05d_143816616

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

「SiteGuard WP Plugin」は必須のプラグイン
SiteGurad WP Pluginは、管理ページとログインに関する攻撃からの防御に特化したセキュリティプラグインです。是非、導入することをおススメします。

当ブログはWordPressテンプレート「ALPHA」を使用しています

使いたいプラグインがきっと見つかる!カテゴリー別プラグイン

zenback:この記事に関連する優良情報

zenback画像

コメントを残す