WordPressのセキュリティ対策プラグイン「SiteGuard WP Plugin」【設定方法と使い方】

「ワードプレスのセキュリティが不安なんだけど、何かいいプラグインはないのかな?できれば設定方法まで教えて欲しい。。。」

こういった方向けの内容です。

結論ですが、「SiteGuard WP Plugin」というプラグインをオススメします。
このプラグインは利用者も多く、設定もわりと簡単です。

というわけで、この記事では「SiteGuard WP Plugin」の設定方法についてお伝えしていきます。



SiteGuard WP Pluginをオススメする理由

ここでは「SiteGuard WP Plugin」をオススメしていますが、これには理由があります。

  • 無料で利用できる
  • 複数の対策ができる
  • 利用者が多い

ざっくり上記3点ですが、中でも「利用者が多い」って大事なことです。
プラグインによっては無料公開している以上、残念ながら悪質なプログラムを入れていたりする場合もあります。

この点からも「実際に使ってる方が多くて問題のないものを選ぶ」って、結構重要な判断基準になるんです。
ワードプレスに関してはテーマにも同じことが言えますね。

そして何より「SiteGuard WP Plugin」は、管理画面などのセキュリティだけではなく、あらゆる面の対策ができるところが優秀ですね。

SiteGuard WP Pluginのインストール

優秀なプラグインである「SiteGuard WP Plugin」ですが、セキュリティを上げるにあたって色々と複雑になる部分もあるようです。

なのでこのプラグインに関しては、インストール前にバックアップを取っておいた方が安全です。

インストール方法

①:管理画面からプラグイン→新規追加を選択
②:SiteGuard WP Pluginを検索
③:インストールをクリック
④:インストールが完了したら有効化

これでSiteGuard WP Pluginはすでに使える状態となっています。

有効化の直後には「ログインURLが変更されました。新しいログインページをブックマークしてください。」と表示されます。
新しいログインURLを、必ずブックマークしておきましょう。

SiteGuard WP Pluginの設定

SiteGuard WP Pluginの設定項目は以下の9点です。

  • 管理画面へのアクセス制限
  • ログインページの変更
  • 画像認証機能
  • ログイン詳細エラーメッセージの無効化
  • ログインロック
  • フェールワンス(OFF)
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート(OFF)

これに関して少し詳しくお伝えしていきます。

管理画面へのアクセス制限

アクセス制限は、新しくなったログインURLへ、ログインしていない接続元のIPアドレスからのアクセスを制限する機能です。

これは「ON」にしておきましょう。

そうすることで、ログインが行われていない接続元に対して、管理ページへのアクセスを「404(Not Found)」で返してくれます。
接続元は24時間以上ログインが行われない場合、順次削除されるので便利です。

ログインページ変更

簡単に言うと、ログインページのURLを決めることのできる機能です。

ここも「ON」にしておいた方がいいでしょう。

通常のログインURLであるhttp://ドメイン/wp-adminhttp://ドメイン/login_〇〇〇〇〇に変更できる感じですね。
この〇〇の部分は数字5桁を自分で決めれるため、他のユーザーが通常のログインを試みようとしてもしにくい状態にすることが可能です。

有効化時にログインURLのブックマークを忘れてしまったという場合も、ここで確認できます。

それでもログインができなくなった方は、『WordPressにログインできない6つの原因と対処方法』という記事を参考にしてみてください。

»参考:WordPressにログインできない6つの原因と対処方法

画像認証

ログイン・コメントなど、何かしらのアクションを起こす場合に、画像に表示された文字列の入力が必要になる機能です。
これによって自動プログラムなんかによる攻撃を防ぐことができます。

ここは「ON」にしつつ、全て「ひらがな」にしておきましょう。

テキストは「ひらがな・英数字・無効」を選べますが、海外からの攻撃面も考えると「ひらがな一択」です。

コメントに関しては正直ユーザーの手間が増えるので、少し考えものではありますが、ログインページなんかは絶対的にやっておいた方がいいです。

ここまででわりと重要な設定は完了です。

残り6つの設定に関してもざっくり解説しておきますので、内容を見て欲しい機能があれば設定してみるくらいの気持ちでいいと思います。

ログイン詳細エラーメッセージの無効化

通常ログインで失敗すると、

  • ユーザー名が間違っている
  • パスワードが間違っている

というように、ご親切にログインできない原因を教えてくれます。
これをどちらが間違えているのか、分からなくするための機能ですね。

ONにするとこの部分が統一されて、不正ログイン側にヒントを与えずにすみますね。

ログインロック

何度もログインに失敗したユーザーを一定時間ロックするための機能です。
ここはわりと機械的な攻撃に対して有効です。

ONにする場合は、「時間・回数・ロック時間」をカスタムできるので、お好みで設定してOKです。
もちろんデフォルトでも問題なしです。

ログインアラート

管理画面にログインがあった場合に、不正ログインに気付きやすくするための機能です。
たまにくる、Googleのログイン通知みたいなイメージですね。

ONにすることでログインすると、登録したメールアドレスにメールが届きます。

フェールワンス

正しいログイン情報を入力しても1回だけログインが失敗するという機能です。
これに関しては人為的、機械的な両攻撃に有効ではあります。

ONにしてもいいですが、毎回自分も失敗するというダルさがあるのでOFFの方がオススメですね。

頻繁にログインしないようなら、もちろんONにしておいた方が安全ではあります。

XMLRPC防御

ピンバックによる不正攻撃などを防ぐ機能です。
(ピンバックはリンクが貼られたことを通知する的なやつです。)

ONにするのであれば、ピンバック無効化にチェックするようにしておきましょう。

XMLRPC無効化を選ぶと、他のプラグインなどに影響が出る可能性があります。
なのでXMLRPC無効化にはチェックを入れないようにしておいてください。

更新通知

ワードプレス・プラグイン・テーマの更新が必要になった場合にメールで通知してくれる機能です。

ONにしておくことで、最新情報が更新された場合にメールが届きます。
とはいえ、ワードプレスのダッシュボードでも分かるので、必要はないかもです。

WAFチューニングサポート

WAF「ウェブアプリケーションファイアーウォール」の略で、セキュリティの1種です。
サーバーによって導入されていたりもします。

ですが、これは特に必要ないので基本的には「OFF」でOKです。

ログイン履歴を確認してチェックもできる

SiteGuard WP Pluginはセキュリティだけではなく、ログイン履歴の確認もできるようになっています。

履歴の確認方法

①:管理画面のサイドバーにある「SiteGuard」をクリック
②:設定状況から「ログイン履歴」をクリック

たったこれだけです。

こうすることで、下の図のようにログイン履歴が確認できます。

  • 日時:ログインを試みた日時
  • 結果:ログインの成功・失敗などの結果
  • ログイン名:ログインに使用されたアカウント名
  • IPアドレス:ログインを行なった接続元のIPアドレス
  • タイプ:アクセス先のページ

「失敗」って表示があると、誰かがログインを試みようとしたってことです。
これだけでもわりと怖いことではあるので、やはりセキュリティ面の強化は行なっておいた方がいいですね。

今回の内容を機会に、セキュリティの強化を行なってみてください。
以上、〇〇でした。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA