
- 現役Webマーケター
(元Webディレクター) - 東証一部上場の不動産系企業で勤務
- 最高収益:月間30万円
WordPressはオープンソースソフトウエアのため、プログラムのファイル構造など詳細な情報がインターネット上に公開されています。そのため、WordPressを利用する際にセキュリティーについて懸念されることがよくあります。
企業でWordPressを利用するとなったら、機密情報などが外部に漏れるリスクがあるのは恐ろしいですよね。
今回はWordPressのセキュリティー対策を向上させるプラグイン「SiteGuard WP Plugin」について解説していきます。
SiteGuard WP Pluginは、オープンソースであるWordPressのセキュリティーを向上させるプラグインです。WordPressの管理画面ページへの不正アクセスや不正ログインの防止やコメントスパムに対して効果を発揮するプラグインです。
【WordPress公式ページ】SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
SiteGuard WP Pluginで実施・確認できるセキュリティー対策は以下になります。
設定項目 | 説明 |
---|---|
管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
ログインページ変更 | ログインページ名を変更します。 |
画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
ログインアラート | ログインがあったことを、メールで通知します。 |
フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
詳細設定 | IPアドレスの取得方法を設定します。 |
ログイン履歴 | ログイン履歴が参照できます。 |
SiteGuard WP Pluginはプラグインをダウンロードして有効化するだけ、一部のセキュリティ機能が有効になります。
WordPressのログイン画面にて、「ユーザー名」「パスワード」だけでなく、画像認証で「ひらがな」の入力を求められるようになります。
WordPressの左メニューから「SiteGuard WP Plugin」をクリックします。
SiteGuard WP Pluginのダッシュボードになります。設定状況が分かりやすいので助かります。
この「管理ページアクセス制限」はWordPressの管理画面へのアクセスを特定のIPアドレス飲みに制限をかけることができる機能です。
「ログインページ変更」ではいつもWordPressの管理画面にログインしているURLを任意のURLに変更することができます。
ちなみにデフォルトのWordPressのログインURLは「https://サイトURL/wp-login.php」という構造になっていて全てのサイトで共通です。
したがって、構造を知っている方であればログイン画面までアクセスできてしまうため、任意のURLに変更するだけで、不正ログインの防止につながります。
「画像認証」では、ログインページ、コメントページなどで画像認証を設置するかどうかの選択ができます。また「ひらがな」だけでなく「英数字」も選択可能です。
エラーメッセージでヒントを与えないように、「ユーザー名」「パスワード」「画像認証」のどれを間違えても、同じエラーメッセージが表示されるように設定できます。
不正ログインが何度も発生した場合に、接続IP毎にログインすることをブロックすることができます。不正ログインの「期間」「回数」「ロック時間」を設定することができます。
ログイン時に、管理者ユーザーにメールで知らせてくれる機能です。
フェールワンスとは、初回のログインは「ユーザー名」「パスワード」に正しい組み合わせを入れていたとしても、失敗させることで不正ログインを防止させます。
正しくても2回ログインする必要があるので、手間はかかりますが安心できますね。
XML-RPG(xmlrpc.php)はWordPress管理画面以外の他のプログラム・サイト外からWordPressをコントロールするための機能(ファイル)になります。
投稿の編集・削除やファイルアップロード、コメントの追加・削除など便利な機能を実行するファイルになるのですが、外部からWordPressをコントロールできてしまうので悪意のある第三者から狙われる可能性が高くなります。
「XML-RPC無効化」を選択してしまうと、XML-RPG(xmlrpc.php)を利用して動いているプラグインなどが動かなくなるため、機能を利用するかどうかは検証が必要です。
「WordPressの更新」「プラグインの更新」「テーマの更新」の3つとも最新版の更新が可能になった場合、メールでお知らせしてくれる機能になります。
WAFとは、Web Application Firewallの略称で、ウェブアプリケーションの脆弱性を悪用した攻撃に対して、動作するファイアウォールの一種です。
攻撃を検知する設定を行うことで、ユーザーとウェブサイト間の通信で、攻撃を検知し防御するセキュリティ対策を行うことができる。
WordPressへのログインの履歴を一覧で確認することができる。
IPアドレスの取得方法を変更することができます。デフォルトでは設定は不要です。