- セキュリティ対策プラグイン「SiteGuard WP Plugin」とは?
- SiteGuard WP Pluginは、どうやって設定すればいいの?
という人のために、SiteGuard WP Pluginの設定方法を、画像付きで解説します。
WordPressプラグイン「SiteGuard WP Plugin」は、セキュリティ対策プラグインです。
不正ログインの防止やWebページの改ざん、スパムなどを防ぐことができます。
プラグイン「XO Security」の更新が止まっている場合は、「SiteGuard WP Plugin」を使います。
1.前提条件・事前準備・参考記事
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.セキュリティ対策プラグイン「SiteGuard WP Plugin」とは
2-1.SiteGuard WP Pluginの特徴
WordPressは、初期設定のままだとセキュリティが貧弱です。
セキュリティが弱ければ、悪意ある第三者にサイトを攻撃(ブルートフォース攻撃、リスト攻撃、DDoS攻撃等)された場合、最悪、サイトを乗っ取られます。
ブルートフォース攻撃(総当たり攻撃/ブルートフォースアタック)とは、WordPressのログインファイルにアクセスし、繰り返しユーザーネーム・パスワードを入力して、ログインを試みる攻撃です。
ブルートフォースアタックの対策をしないと、何万回、何億回とログイン試行をされ、最終的にログインされてしまいます。
パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)とは、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。
DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)とは、様々な手段で負荷を与えることで、攻撃対象のサービスを停止させる攻撃です。
DDoS攻撃が実行されると、攻撃対象のサーバーは大量のアクセスや通信の処理のためにリソースを割くことになり、Webサイトやサービスが正常に作動できなくなります。
そこで、セキュリティ対策が必要になります。
プラグイン「SiteGuard WP Plugin」は、不正ログイン、Webページ改ざん、スパムを防止します。
WordPressに入れておきたいセキュリティ系プラグイン候補の1つですね。
ただし、セキュリティレベルを上げようと思うなら、プラグイン「XO Security」の方が優秀です。
なぜなら、「SiteGuard WP Plugin」の機能に加え、2段階認証が失敗した場合の遅延対策機能があるからです。
「XO Security」が更新されない場合は、「SiteGuard WP Plugin」を使用します。
「SiteGuard WP Plugin」の主な機能は、以下になります。
- 不正ログインの防止
- 管理ページ(/wp-admin/)への不正アクセスの防止
- コメントスパムの防止
- WordPress管理画面のログインページURL末尾を、任意の文字列に変更できる
- ログイン時に、「画像認証」の項目を加えられる
「SiteGuard WP Plugin」をインストールするメリットは、以下になります。
- 管理画面・ログイン画面のセキュリティを守るために、複数の対策ができる。
- インストールしても重くならない。
- 日本国産プラグインなので、各説明が日本語。
- 企業(株式会社ジェイピー・セキュア)が開発しているので、WordPressの更新に即時対応すると予想される。
- 無料。
2-2.WordPressのセキュリティにおすすめするプラグインの組み合わせ
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。
- Wordfence Security – Firewall & Malware Scan:総合セキュリティ
- XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
- BBQ: Block Bad Queries:データベース不正操作対策
- Invisible reCaptcha for WordPress:スパム対策
- UpdraftPlus(アップドラフトプラス):バックアップ
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
3.SiteGuard WP Pluginを設定する手順
SiteGuard WP Pluginを設定する手順は、以下になります。
- SiteGuard WP Pluginをインストールする
- 最低限の各種設定をする
- 「管理ページアクセス制限」の設定
- 「ログインページ変更」の設定
- 「ログインロック」の設定
- 「ログインアラート」の設定
- 「更新通知」の設定
では、1つずつ解説していきます。
4.SiteGuard WP Pluginを設定する方法
4-1.SiteGuard WP Pluginをインストールして有効化する
まず、SiteGuard WP Pluginをインストールします。
- 管理メニュー「プラグイン」>「新規追加」>「SiteGuard WP Plugin」を検索>「SiteGuard WP Plugin(作成者: JP-Secure)」を「今すぐインストール>「有効化」
以上で、SiteGuard WP Pluginのインストールと有効化は完了です。
SiteGuardは導入しただけで、以下のセキュリティ機能が有効化されます。
- 自動的に有効化する設定は以下になります。
- ログインページのURLが変更されます。このため、「http(s)://サイトURL/wp-login.php」ではログインできません。
- ログイン時、かな入力の画像認証が必要になります。
- ログインのエラーメッセージが、全て同一文章になります。
- ログインを5秒に3回失敗すると、ログインがロックされ、1分間ログインできなくなります。
- ログインすると、ログインユーザーにメールが送信されます。
- ピンバック機能が無効化されます。
- メールに更新通知が届きます。
SiteGuardはインストール時、管理画面のログインURLが変更されています。
ページを離脱する前に、ログインURLをメモ(ブックマーク)するか、「ログインページ変更」機能をOFFにしましょう。
4-2.SiteGuard WP Pluginの最小限の設定
後述する「SiteGuard WP Pluginの各種設定の説明」を見なくても、最低限、以下を設定すれば良いです。
SiteGuardの設定は、管理メニュー「SiteGuard」からできます。
- 管理メニュー「SiteGuard」>「管理ページアクセス制限」>「ON」>「変更を保存」
- 管理メニュー「SiteGuard」>「ログインページ変更」>「変更後のログインページ名」の「URLを変更」>「管理者ページからログインページへリダイレクトしない」に「チェック」を入れる>「変更を保存」
- 管理メニュー「SiteGuard」>「ログインロック」>「OFF」>「変更を保存」
- 管理メニュー「SiteGuard」>「ログインアラート」>「OFF」>「変更を保存」
- 管理メニュー「SiteGuard」>「更新通知」>「OFF」>「変更を保存」
「2.ログインページ変更」のURLは、セキュリティを高めるために、英数字、ハイフン、アンダーバーを使用し、16文字以上で作成します。
また変更した「URL」は、無くすとログインできなくなります。
ページを離脱する前に、ログインURLをメモ(ブックマーク)しましょう。
5.SiteGuard WP Pluginの各種設定の説明
5-1.ダッシュボード
管理メニュー「SiteGuard」>「ダッシュボード」をクリックすると、「ダッシュボード」画面になります。
- SiteGuard WP Pluginの各設定が有効になっているか、設定状況を確認できます。
「緑色のチェック」は有効、「灰色のチェック」は無効です。
SiteGuard WP Pluginの設定一覧は、以下になります。
- 管理ページアクセス制限:ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
- ログインページ変更:ログインページ名を変更します。
- 画像認証:ログインページ、コメント投稿に画像認証を追加します。
- ログイン詳細エラーメッセージの無効化:ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
- ログインロック:ログイン失敗を繰り返す接続元を一定期間ロックします。
- ログインアラート:ログインがあったことを、メールで通知します。
- フェールワンス:正しい入力を行っても、ログインを一回失敗します。
- XMLRPC防御:XMLRPCの悪用を防ぎます。
- 更新通知:WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
- WAFチューニングサポート:WAF (SiteGuard Lite)の除外ルールを作成します。
- 詳細設定:IPアドレスの取得方法を設定します。
- ログイン履歴:ログインの履歴が参照できます。
5-2.管理ページアクセス制限
管理メニュー「SiteGuard」>「管理ページアクセス制限」をクリックすると、「管理ページアクセス制限」画面になります。
管理ページアクセス制限は、ログインしていない接続元IPアドレスを、管理画面にアクセスできないようにする機能です。
「ログインページ変更」機能で作成した「新しいURL」で一度ログインしなければ、URLに管理画面ページ「https://○○○/wp-admin」を直接入力しても、エラーページ「404(Not Found)」が表示されます。
そのため、「管理ページアクセス制限」機能をONにしないと、「https://○○○/wp-admin」でログインページにアクセスできてしまいます。
(逆に「新しいURL」でログインした端末は、24時間以内なら、旧URL「https://○○○/wp-admin」でもログインできます。)
なので、以下3点はセットで必要になります。
- 「ログインページ変更」機能で、「新しいURL」を作成する。
- 「ログインページ変更」機能で、「管理者ページからログインページへリダイレクトしない」にチェックを入れる。
- 「管理ページアクセス制限」機能をONにする。
除外パスは、必要であれば追加します。
例えば、ログインページにアクセス制限をかけた為に、デザインが崩れて表示がおかしくなる場合。
除外パスの部分に「load-styles.php」と入力し、除外パスとして設定します。
(「load-styles.php」は初期値で入力されています。)
5-3.ログインページ変更
管理メニュー「SiteGuard」>「ログインページ変更」をクリックすると、「ログインページ変更」画面になります。
WordPressには、「管理画面URL」と「ログインURL」の2つがあります。
- 管理画面URL:https:///○○○/wp-admin/
- ログインURL:https:///○○○/wp-login.php
通常、ログインしていない状態で管理画面URLにアクセスすると、ログインURLにリダイレクト(転送・移動)されます。
もしログインURLがわからなくても、管理画面URLにアクセスすれば、ログインURLがわかってしまいます。
そこで、セキュリティを高めるには、以下の2点が必要です。
- ログインURLをわからなくする
- 管理画面URLからログインURLにリダイレクトさせない
ログインページ変更機能は、通常のログインURL「https://○○○/wp-login.php」を「https://○○○/任意の文字列(login_xxxxx)」に変更する機能です。
「https:///ドメイン名/wp-login.php」ではログインページに辿り着けないため、不正ログインを受けにくくなります。
ログインURLを変更するには、「https://ドメイン名/任意の文字列」を入力します。
初期値は、「login_5桁の乱数」です。
セキュリティを高めるためには、英数字、ハイフン、アンダーバーを使用し、16文字以上で作成します。
「管理者ページからログインページへリダイレクトしない」にチェックを入れると、管理画面URLにアクセスしても、ログインURLにリダイレクトされなくなります。
なので、チェック推奨です。
前述の「管理ページアクセス制限」機能もONにします。
5-4.画像認証
管理メニュー「SiteGuard」>「画像認証」をクリックすると、「画像認証」画面になります。
画像認証は、ログインやコメントフォームに画像認証を設ける機能です。
ブルートフォース攻撃やリスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくします。
画像認証の文字は、ひらがなと英数字が選択できます。
英語は世界中で使われ、入力しやすい文字なので、ひらがなの方が良いです。
ONを推奨します。(ただしWordfenceを使うなら、利便性を取るためOFFにする)
画像認証は、以下のように表示されます。
5-5.ログイン詳細エラーメッセージの無効化
管理メニュー「SiteGuard」>「ログイン詳細エラーメッセージの無効化」をクリックすると、「ログイン詳細エラーメッセージの無効化」画面になります。
ログイン詳細エラーメッセージの無効化は、ログイン失敗時のエラーメッセージを「エラー: 入力内容を確認の上、もう一度送信してください。」と一律にする機能です。
ログインする時、「ユーザー名」、「パスワード」、「画像認証」のどれを間違えても同じエラーメッセージを表示します。
初期値では、ログイン時に「ユーザーIDだけ」を間違ったのであれば「ユーザー名は合っているがユーザーIDは間違っている」と表示されます。
これでは、不正ログインのヒントになってしまいます。
「ログイン詳細エラーメッセージの無効化」機能をONにすれば、エラーメッセージが同じになるため、エラーメッセージからログイン情報を把握できなくなります。
ONを推奨します。
プラグイン「Wordfence」>「All Options」>「Firewall Options」>「Brute Force Protection」>「Additional Options」>「Don’t let WordPress reveal valid users in login errors」を使う場合、機能は被りますが、「SiteGuard」が優先して表示されます。
5-6.ログインロック
管理メニュー「SiteGuard」>「ログインロック」をクリックすると、「ログインロック」画面になります。
ログインロックは、短時間にログイン試行を繰り返す端末に対して、IPアドレスを元にログインロックする機能です。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくします。
これらの攻撃は、機械的に、短時間に何度もログインを繰り返す特徴があるため、有効です。
ログインの失敗が指定期間中に指定回数に達したら、接続元IPアドレスを指定時間ブロックします。
ユーザーアカウント毎のロックは行いません。
ログインロックの数値は、初期値のままで良いです。
プラグイン「Wordfence」の「Enable brute force protection(ブルートフォース保護を有効にする)」を使うなら、機能が被るため、「ログインロック」機能はOFFにします。
5-7.ログインアラート
管理メニュー「SiteGuard」>「ログインアラート」をクリックすると、「ログインアラート」画面になります。
ログインアラートは、不正なログインに気づきやすくするための機能です。
WordPressにログインがあるたびに、ログインユーザー(通常は管理者)にメールが送信されます。
ONにすると、ログインのたびにメールが届くので、鬱陶しいです。
またセキュリティ対策は、いかに侵入されないかが重要です。
侵入されたら手遅れなので、「ログインアラート」機能はOFFにします。
5-8.フェールワンス
管理メニュー「SiteGuard」>「フェールワンス」をクリックすると、「フェールワンス」画面になります。
フェールワンスは、正しいログインをしても一度ログイン失敗にする「Fail Once(一回失敗)」機能です。
正しいログイン情報でも一回失敗させることで、万一第三者が正しいIDとパスワード情報を入力しても、第三者はログイン失敗したように思います。
リスト攻撃に有効です。
ログイン時は、5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
その他のサービスでID、パスワードの使い回しをしていないなら、「フェールワンス」機能はOFFのままで良いです。
よりセキュリティレベルを上げるなら、「フェールワンス」機能はONにします。
5-9.XMLRPC防御
管理メニュー「SiteGuard」>「XMLRPC防御」をクリックすると、「XMLRPC防御」画面になります。
XMLRPC防御は、ピンバック機能の無効化、または、XMLRPC( xmlrpc.php )を無効化する機能です。
ピンバックとは、リンク元がリンク先に通知するWordPress専用の機能です。
ピンバックは、WordPressサイトに埋め込んだURLを一気に配置して、攻撃したいサイトに承認を送りつけて重くするDDoS攻撃で使われます。
XML-RPCとは、XML形式のデータを、RPC(遠隔手続き型呼び出し:HTTPでやり取りするときに使う)プロトコル(通信時の約束事)のこと。
WordPressの管理画面からではなく、プログラムなどでWordPressの外側からWordPressをコントロールするための機能です。
例えば、Jetpackやスマートフォンで投稿をする際に必要です。
逆に、ブルートフォースアタック(総当たり攻撃)によるアカウント情報割り出しにも使われます。
ログインの総当たり攻撃(ブルートフォースアタック)対策には、「ログインロック」機能か、プラグイン「Wordfence」の「Enable brute force protection(ブルートフォース保護を有効にする)」を使います。
初期値「ON」「ピンバック無効化」のままにします。
5-10.更新通知
管理メニュー「SiteGuard」>「更新通知」をクリックすると、「更新通知」画面になります。
更新通知は、WordPress本体、プラグイン、テーマの新しいバージョンがリリースされたときに、管理者にメール通知する機能です。
セキュリティの基本は、常に最新のバージョンを使用することです。
しかし、メールが頻繁に来るのは鬱陶しいので、OFFにします。
5-11.WAFチューニングサポート
管理メニュー「SiteGuard」>「WAFチューニングサポート」をクリックすると、「WAFチューニングサポート」画面になります。
WAFチューニングサポートは、WAF(Web Application FireWall)の除外設定をする機能です。
WAFは、レンタルサーバーのサービスで、Webサーバーに対する外部からの攻撃を防ぎます。
しかしWordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります(403エラー)。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
必要なとき以外は、初期状態OFFのまま、何も設定しなくてもOKです。
5-12.詳細設定
管理メニュー「SiteGuard」>「詳細設定」をクリックすると、「詳細設定」画面になります。
詳細設定は、IPアドレスの取得方法を設定する機能です。
通常はロードバランサーを使っていないので、初期値の「リモートアドレス」にしておきます。
リモートアドレスとは、IPアドレスのこと。
X-Forwarded-Forとは、HTTPヘッダの中のフィールドにクライアントのIPアドレスを挿入することが可能な機能のこと。
これにより、ロードバランサーなどが中間に入ってWebサーバに対するアクセスで送信元IPが変換されてしまっても、実際のクライアントIPアドレスを知ることが可能になります。
ロードバランサーとは、サーバーにかかる負荷を、平等に振り分けるための装置のこと。
これにより、1つのサーバーにかかる負担を軽減したり、停止状態を防ぐことができます。
5-13.ログイン履歴
管理メニュー「SiteGuard」>「ログイン履歴」をクリックすると、「ログイン履歴」画面になります。
ログイン履歴は、ログインした履歴を一覧する機能です。
不正ログインなどを確認できます。
履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。
- 日時:ログインを試みた日時
- 結果:ログインに成功したか失敗したか。「成功」「失敗」のどちらかが表示される。
- ログイン名:ログインに使われたアカウント名
- IPアドレス:ログインを試みた接続元のIPアドレス
- タイプ:アクセス先のページ。WordPressログイン画面なら、タイプは「ログインページ」
結果は「成功」なのに、IPアドレスに覚えが無ければ、不正なログインがされたことになります。
この場合、パスワードの変更、改ざんの形跡を確認する、といった対処が必要になります。
6.まとめ
SiteGuard WP Pluginは、インストールするだけでセキュリティ効果がありますが、多少の設定は必要です。
くれぐれも、「変更後のログインページ名(URL)」をメモ(ブックマーク)忘れずに。
WordPressは、不正ログインされたら終了です。
そこで、SiteGuard WP Pluginと併用して使いたいプラグインに、「Wordfence」があります。
こちらも、ぜひインストールと設定をしてください。
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】