簡単にブログを守れるセキュリティ対策!SiteGuard WP Pluginの使い方

どうもゆうともです!

WordPressを使っているブロガーの皆さん、ご自身のブログのセキュリティ対策は出来ていますか?

セキュリティ対策しておかないと、ブログが乗っ取られたりウイルスに攻撃されたり、と危険がいっぱいです。

 

既にご存じだと思いますが、Wordpressはオープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすいんですよ!

WordPressを利用しているブログ運営者は、「まだアクセス数が少ないから」とセキュリティ上の問題を決して軽視せず、しっかりと対策をしていきましょう。

 

しかし、セキュリティ対策って知識がないと中々難しいです。

知識がないので、何をどう対策すれば良いかわかりませんよね?

 

そんな悩みを今回は解決すべく、本職が社内SEでセキュリティ対策を実施している私が厳選した、オススメNo1のプラグインの「SiteGuard WP Plugin」についてご紹介します!

 

このプラグインを使えばセキュリティの知識はそれほど必要ではないですし、設定方法もすごく簡単です。

ご自身がせっかく作り上げた大切なブログを守るためにも是非このプラグインを導入してください!

 

ブログのセキュリティ対策って必要なの?

ブログを運営していく上でセキュリティ対策は必ず導入した方が良いです!

先程もご説明した通り、Wordpressはオープンソースなので、脆弱性が発見されやすいです。

脆弱性とは
ソフトウェア設計や実装する際に問題が生じてしまい、その上でセキュリティに欠陥が表れてしまうこと

 

WordPressの脆弱性は、WordPress本体やプラグイン・テーマ、もしくはPCにて見つかるケースがあります。

他にも、第3者が認証情報を入力し、不正にログインをすることで攻撃されてしまうこともあります。
ログイン用URLを特定し、ユーザー名とパスワードが一致するまで入力するという方式です。

 

もちろん、ハッカーが手作業でやっているわけではなく自動で攻撃してきます。

処理能力を利用すれば1秒でおよそ数百まで入力を試すことができるので、数字4桁などの簡単なパスワードにしている場合は、数秒でログインされて乗っ取られますね…

 

そうなると後の祭りでハッカーのやりたい放題です。

 

例えば、下記の様な被害が起きます。

  • 個人情報の流出
  • WordPressへ不正アクセス
  • ブログのデータ改ざん及び削除

想像しただけでも怖いです…

 

SiteGuard WP Pluginとは?

セキュリティ対策の必要性が分かったところで、私がオススメする「SiteGuard WP Plugin」をご紹介していきます!

 

何度もいいますが、WordPressの管理画面やログイン画面は、悪意ある第三者から攻撃を受ける事があります。

攻撃を防ぐためにもセキュリティの対策が必要になりますが、「SiteGuard WP Plugin」を使えばWordPressの管理画面・ログイン画面を保護することが可能です。

 

使い方も本当に簡単なので、セキュリティの知識がなくても簡単に設定できます!

言ってしまえば、WordPressにインストールするだけで使うことができますし、もちろん無料です。

 

また、管理画面・ログイン画面のセキュリティを守るだけではなくて、設定をすれば複数の対策ができます。

ひとつのプラグインで複数の対策が出来るのはプラグインの管理もラクですし、設定を変えたくなった時もありがたいです。

ちなみに、WordPressへたくさんのプラグインをインストールすると重くなる事がありますが、「SiteGuard WP Plugin」で重くなるということはありませんでした。

 

SiteGuard WP Pluginの使い方

では、SiteGuard WP Pluginの使い方について解説します。

といってもすごく簡単で例のごとく、プラグインをインストールして有効化させるだけです!

 

管理画面のサイドバーより「プラグイン」をクリック→「新規追加」をクリック

「プラグインの検索」欄に「SiteGuard WP Plugin」と検索すればすぐ出てきます!

インストールが完了し有効化すると、下記の様に「SiteGuard」の項目が追加されていませんか?

これで終わりです。簡単でしたよね?

後は各項目の設定をしてあげればセキュリティ対策としては完了です。

ちなみに、「SiteGuard」のページに行くと様々な設定のOn・Offの状態がわかります。

この画面を確認することで自分のサイトはどんなセキュリティ対策をしているかを確認出来ます!

 

SiteGuard WP Pluginの設定方法

次は、実際に「SiteGuard WP Plugin」の各種設定方法を見ていきましょう!

基本的には、各種の設定画面にいって設定のOn・Offを変えればよいだけです。

出来るだけわかりやすく画像付きで解説していますのでセキュリティの知識が無くても大丈夫です。

 

管理ページアクセス制限

ログインが行われていないユーザー(厳密にいうと接続元IPアドレス)に対して、WordPressの管理画面へアクセスできない様にする機能です。

WordPressの管理画面のURLは「http://ドメイン/wp-admin/」になっていますが、この設定を有効にすることにより、ログインせずにアクセスすると「404エラー」画面を返すように出来ます。

この設定をしておくことで、悪意のあるユーザーが管理画面へ侵入できない様にし、ファイルへ直接アクセスして行う攻撃を防ぐことも出来ます。

「除外パス」という欄に記載したディレクトリやファイルは対象外としますが、特に指定がないのであればデフォルトのままで問題ないです。

 

ログインページ変更

次は、WordPressのログインページのURLを変更する機能です。

皆さんのログインページは、通常は「http://任意のドメイン/wp-login.php」になっています。
要は誰でもブログのログインページに簡単にアクセス出来ます。

そんな共通のURLを、任意のURLへ変更できるのがこちらの設定です。

設定をする事で、管理画面のログインページを特定出来なくして攻撃を防ぐというわけです。

変更後のURLは、忘れない為にもメモを取ったりブックマークなどへ登録する事をオススメします。

ちなみに、ひとつ前で設定した「管理ページアクセス制限」を「OFF」にしてしまうと、ここでログインページのURLを変更した場合でも、「http://任意のドメイン/wp-login.php」にアクセスすると勝手に変更後のURLへリダイレクトされてしまいます。

「管理ページアクセス制限」と「ログインページ変更」は両方合わせて「ON」にしないと、意味がありません。

ログインURLを忘れてしまったら...
もし、URLを変更後に管理画面のURLを忘れてしまった場合でもURLを確認する方法はあります。
ブログが置いてあるサーバーへFTPなどでアクセスし、今回設定を行ったブログのディレクトリ内の.htaccessファイルの中を見れば書いてあります。

レンタルサーバーをエックスサーバーで運用されている場合は、サーバーパネルにログイン後に「.htaccess編集」で確認する事が出来ますよ!

 

画像認証

読んで字のごとく、ログイン画面に画像認証を設置出来る機能です。

私の場合は設定項目は全てひらがなで設定していますが、お好みで大丈夫です。

 

「ON」にすると、下記の様なログイン画面になります。

 

ユーザー名とパスワードの下に、画像で示された「ひらがな」を入力する項目が増えていますよね?

ユーザー名とパスワードの他にもう一つ認証を組み合わせることで、自動ロボットからの攻撃に非常に効果的です!

自分がログインする時にひと手間増えるのは面倒くさいですが、絶対にやっておいた方が良い機能です。

 

 

ログイン詳細エラーメッセージの無効化

これはログイン失敗時のエラーメッセージを常に同じものを表示させる設定です。

どういう事かというと、通常のままだとログイン失敗時に失敗の原因を詳しく教えてくれるという親切設計にWordpresはなっています。

親切設計の問題点はメッセージからIDとパスワードのどちらが正解しているのかわかってしまいます。

この機能をONにしておくことで、ログイン失敗の原因を隠すことが可能です。

 

ログインロック

繰り返しログインに失敗した場合、一定時間ログインをロックする機能です。
これはパソコンのログインでも設定している方も多いと思います。

悪意のあるユーザーが行う不正アクセスは、機械的なプログラムを使って1秒間に何百回も連続的に攻撃してきます。その攻撃を一定時間防ぐためにも設定しておきましょう。

時間や回数などはご自身のお好みで選択してください!

ログインアラート

ログインした際にアラートあげてくれる機能です。

この機能を有効化するとログインされる度に登録したメールアドレス宛てに通知が送信されます。

これを使う事で自分がログインした心当たりがないのにメールを受信した場合は、不正なログインの可能性が高いです。
もし、不正ログインの疑いがある場合はパスワードを変更した方がよいでしょう。

 

フェールワンス

私の場合、この設定は「OFF」にしています。

 

この機能は、設定を「ON」にしておくと、正しいパスワードを入力してログインしても、1回目のログインは必ず失敗になります。

そして、その後5秒以降、60秒以内に正しいログイン情報を入力すると、ログイン出来るという機能です。

こうする事でパスワードリスト攻撃を受けにくくする事が出来ますよ!

パスワードリスト攻撃とは
ネットサービスやコンピュータシステムの利用者アカウントの乗っ取りを試みる攻撃手法の一つです。
別のサービスやシステムから流出したアカウント情報を用いてログインを試みる手法で、流出元と同じアカウント名(ID)とパスワードを別のシステムでも使いまわしているとアカウントが乗っ取られてしまいます。

 

XMLRPC防御

ピンバックによる不正な攻撃を防ぐことが出来る機能です。

ピンバックはブログにリンクが張られたことを通知する機能で、この機能を悪用した攻撃でDDos攻撃というものがあります。

「XMLRPC無効化」の方を選択すると、他のプラグインに影響を及ぼしてしまう可能性があるため、「ピンバック無効化」を選択しましょう。

大量のアクセスをサイトに送ることで、負担をかけサーバーダウンさせてしまう攻撃を防ぐことができますよ。

 

更新通知

WordPress・プラグイン・テーマの更新が必要になった場合に、管理者宛にメールで通知してくれる機能です。

セキュリティの基本は、常に最新のバージョンを利用することです!
古いバージョンの物はハッカーの餌食になりやすいので最新のバージョンへのアップグレードはするようにしましょう。

更新の確認は、24時間毎に実行されるので安心です。

 

WAFチューニングサポート

こちらも私はOffにしています。

WAFをWordPressでうまく利用するための設定項目です。

WAFとは「Webアプリケーションファイアーウォール」の略で、オンライン・バンキングやショッピングサイトのように、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするなど、アプリケーションを作りこんだWebサイトでよく用いられるセキュリティです。

WAFについて詳しく説明
従来のファイアウォールやIDS/IPSでは防ぐことができない不正な攻撃からWebアプリケーションを防御するファイアウォールの事です。
一般的にはWAFといえばWebサーバーが利用するポート 80番、443番のトラフィックを双方向で監視して、悪意あるユーザーからWebアプリケーションとその背後にあるデータを守る場合が多いです

使用しないという方は「OFF」にしておきましょう。

 

SiteGuard WP Pluginの注意事項

「SiteGuard WP Plugin」を有効にすると、WordPressの管理画面へアクセスできなくなったという場合があります。

原因として多いのは、「http://ドメイン/wp-login.php/にアクセスできない」場合です。

これはWordpress初期状態の共通ログインURLです。

先程ご説明した通り、SiteGuard WP Pluginを有効化にする事によってログインURLが変更されています。

仮にアクセスしようとすると「ページが見つからない」旨のエラー表示がされるという訳ですね!
ご自身が設定した正しいURLでログインしてみてください。

 

まとめ

いかがでしたでしょうか。

おそらく、皆さんが思っているよりも簡単にセキュリティ対策が出来た事でしょう。

もちろんこの対策をしたからといって完全にセキュリティ対策が出来ているかと言われると難しいです。
ハッカーもあの手この手でセキュリティの網を抜けて攻撃を仕掛けてきます。

しかし、「SiteGuard WP Plugin」を入れておけば第一段階の攻撃は防ぐ事が出来るので入れておいて損はないです。
お金がかかるわけでもなければ、設定に時間がかかるわけでもないので。

皆さんが作った大切なブログを守るためにも最低限このプラグインを導入する事をオススメします!