サイトの不正アクセス対策にSiteGuard WP Pluginが良いって
聞いたんだけどどんなプラグインで、おすすめの設定とかあるの?
こんな疑問にお答えします。
今回はSiteGuard WP Pluginについて詳しく知りたいと思っているあなたに、下記の内容をわかりやすく解説していきます。
本記事の内容
- SiteGuard WP Pluginとは
- SiteGuard WP Pluginのインストール方法
- SiteGuard WP Pluginの設定方法
この記事を読めば、SiteGuard WP Pluginの基本情報から、おすすめの設定がわかる、そんな記事です。
SiteGuard WP Pluginとは
SiteGuard WP Pluginは、無料でWordPressのセキュリティを強化できる、日本国内企業が開発・提供しているWordPressプラグインです。
WordPressにセキュリティ向上プラグインが必要な理由
WordPressはログインURLを設定で変更していない場合、誰でも簡単にログイン画面に進むことができます。
デフォルトのログインURLは
『http://◯◯◯◯(あなたのサイトドメイン)/wp-login.php』
となっており、あなたのサイトドメインさえわかれば、誰でもログイン画面にたどり着けます。
悪意のあるユーザーは、このログイン画面に到達し、総当たり攻撃を仕掛けてきます。
総当たり攻撃とは、考えられるすべてのユーザー名・パスワードの組み合わせを試して、正しいパスワードを突き止めようとする手法です。
総当たり攻撃の対策はユーザー名やパスワードを長く・複雑にすることですが、
デフォルトのログインURLのままだと突破されるのは時間の問題。
他のリスクを減らすためにもセキュリティ向上プラグインを導入しておきましょう!
SiteGuard WP Pluginの機能
- ログインURLの変更
- CAPTCHA画像認証
- ログイン回数制限
- ログイン通知
ログインURLの変更
SiteGuard WP Pluginを使えばログインURLを変更することができます。
デフォルトのURLは
『http://◯◯◯◯(あなたのサイトドメイン)/wp-login.php』となっていますが、
『http://◯◯◯◯(あなたのサイトドメイン)/login_abc123』など、
好きな文字列に変更することができるので、攻撃者がログイン画面にたどり着けなくなります。
ただ、SiteGuard WP Pluginで作成したログインURLを忘れてしまうと
・過去にSiteGuard WP Pluginから届いた、ログインURLが書かれたメールを探す
・使用しているレンタルサーバーにアクセスしてプラグインを削除
などの対応が必要になるので注意しましょう。
CAPTCHA画像認証
SiteGuard WP Pluginを使えばログイン画面に「ひらがな画像認証」を追加することができ、BOTからの攻撃を防ぐことができます。
BOTが認識できないように、「歪曲・異なるフォント・文字の濃淡」などの加工がされたひらがなをログイン時に求めることで、BOTができないようにします。
BOT攻撃は様々な種類がありますが、どのBOTも“同じ作業を繰り返すプログラム”として多く利用されています。
その中でよく利用されているのが、『クルデンシャルスタッフィング』と呼ばれる攻撃です。
ポイント
『クルデンシャルスタッフィング』とは
漏洩したIDとパスワードなどのログイン情報を使用して、他のサービスに不正アクセスを仕掛けてくる攻撃。
攻撃者はBOTを使用し、自動で大量にあるデータを、サイトのログイン画面で入力していき、何度もログインを試みるので、画像認証などの対策が重要になります。
ログイン回数制限
SiteGuard WP Pluginを使えば、ログイン失敗回数に制限をかけることができます。
デフォルトのログイン回数は無制限ですが、制限をかけることでBOTからの連続した攻撃から守られます。
ログインに失敗したIPアドレスは、一定時間ログインロックをされるので、
自身がログインするときにも注意が必要です!
ログイン通知
SiteGuard WP Pluginを使えば、ログイン時に指定したメールアドレス宛てにログイン通知が届きます。
ログインするたびに通知が届くので、自分以外の人がログインした場合でも、すぐに気がつくことができます。
複数でサイトを管理している場合は、管理者のみに通知させることもできます。
SiteGuard WP Pluginのインストール方法
STEP1
WordPressのダッシュボードにログインし、左のメニューから「プラグイン」をクリック→「プラグインを追加」をクリック
STEP2
プラグインを追加できる画面に進むので、「SiteGuard WP Plugin」と入力すると検索結果が表示されるので、「今すぐインストール」をクリックしプラグインをインストールします。
ポイント
※サーバーによってはデフォルトで「SiteGuard WP Plugin」がインストールされている場合があります。そのときは次の手順から実行しましょう。
STEP3
インストールが完了すると、「今すぐインストール」が「有効化」に変わるので、「有効化」をクリックしてプラグインを有効化します。
STEP4
有効化が完了すると「プラグインを有効化しました」と表示され、
その上部に「ログインページURLが変更されました」と書かれた画面に遷移します。
「新しいログインページURL」をクリックしてログイン画面に遷移します。
STEP5
新しいログインURLをクリックすると、中央部に「ひらがな」が表示された下記のような画面に遷移します。
ブラウザの検索窓に新しいログインURLが表示されるので、必ずメモするかブックマークに保存しておきましょう!
設定変更後は、WordPressに登録してあるメールアドレス宛にメールが届きます。
件名が「WordPress:ログインページURLが変更されました」で届くので、必ず残しておきましょう。
SiteGuard WP Pluginのおすすめの設定内容
SiteGuard WP Pluginはインストールして有効化するだけで、セキュリティが格段に向上します。
ここからは、よりセキュリティを強化する設定を2つ紹介していきます。
おすすめの設定
- ログインロック設定
- 更新通知の設定
ログインロックの設定
ログインロックは、短時間にログイン試行で失敗した端末に対して、IPアドレスを元にログインロックをする機能です。
デフォルトではONになっていますが、BOT攻撃に対応できるように、より厳しい要件に変えることをおすすめします。
STEP1
WordPressのダッシュボードの左メニューから、「SiteGuard」をクリック→「ログインロック」をクリックします。
STEP2
「ログインロック」の画面に遷移するので、期間の「30秒」をクリック→回数の「3回」をクリック→ロック時間の「5分」をクリック→「変更を保存」をクリックします。
この設定はデフォルトでONになっていますが、設定を変更しておくことで不正ログインを防ぐ効果が期待できます。
ポイント
デフォルトの設定
”5秒間”に”3回”ログインに失敗すると”1分間”ロックアウトされる。
変更後
”30秒間”に”3回”ログインに失敗すると”5分間”ロックアウトされる。
更新通知の設定
更新通知は、新しいバージョンがリリースされたときにメール通知が届く機能です。
WordPress・プラグイン・テーマの更新があるたびにメールが届きます。
特に複数のプラグインをインストールしている場合は、多くのメールが届くので、不要な方は設定でOFFにしておきましょう。
STEP1
WordPressのダッシュボードの左メニューから、「SiteGuard」をクリック→「更新通知」をクリックします。
STEP2
更新通知が不要な方は「無効」をクリック→「設定を変更」をクリック
これで通知が来なくなります。
更新通知が届いてほしい方は、「有効」にチェックをつけたまま運用していきましょう。
まとめ
SiteGuard WP Pluginは導入することで、不正アクセスやサイトの改ざんなどから守られます。
サイトを安全に運用していくためには、基本的なセキュリティ対策が非常に重要です。
このプラグインはシンプルでPC初心者でも使いやすいため、WordPressを使っているユーザーにとって、導入価値の高いプラグインです。
誰でも無料で利用できるので、セキュリティを向上させるために導入しておきましょう!
今回は以上です。
最後まで読んでいただき、ありがとうございました。