【 WordPressのセキュリティ対策】 WP SiteGuardプラグインの使い方

WordPress

【セキュリティ対策】WordPress「SiteGuard WP Plugin」の使い方を徹底開設

投稿日:2019年7月5日 更新日:

WordPressの初期状態は、セキュリティ的にあまり強いとは言えません。今回は有名なセキュリティ対策プラグイン「SiteGuard WP Plugin」の導入と使い方を説明しながら、セキュリティ対策を行う方法を解説していきます。
 

WordPressを初めてみたんですけど、なんだか他の人が勝手にログインされたらと思うと不安で・・・初心者でも簡単なセキュリティ対策できるプラグインってないんでしょうか??

「SiteGuard WP Plugin」というプラグインがおすすめですよ。SiteGuardは、不正ログインの防止やスパムの防止など、WordPress標準状態よりもセキュリティを上げてくれます。悪意ある第三者からの攻撃を防止してくれる効果がありますのでおすすめです。

 

【WordPress対応】自分でホームページ・ブログを作成したいWebスクールWEBST8
WordPress 自分でホームページ・ブログを作成したい個人事業主のためのWebスクール・教室 ウェブストエイト


 


 

(※)ご利用のテーマやプラグインの組み合わせによっては競合する場合がありますのでご注意ください。万一の場合に備えて、できるだけ事前にバックアップなどを取得いただくことを推奨します。
 
 

セキュリティ対策プラグイン「Site Guard(サイドガード)」とは

SiteGuard WordPressおすすめプラグイン
 

SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるシンプルなセキュリティ対策プラグインです。不正ログインの防止やWebページの改ざん、スパムなどを防ぐことができます。
 

SiteGuard WP Pluginの主な機能

  • 不正ログインの防止
  • 管理ページ(/wp-admin/)への不正アクセスの防止
  • コメントスパムの防止

 

ちなみに、レンタルサーバー「ロリポップ!」でも、セキュリティ対策のプラグインとして、WPSiteGuardを推奨しています。

 

このたび、WordPressへのセキュリティ対策を更に強化するため、従来より行っておりました「WordPressへの攻撃に対する検知と.htaccessを利用した防御機能」を停止し、セキュリティプラグイン『SiteGuard WP Plugin』の推奨を決定いたしました。

WordPressをご利用の方は、サイトの改ざんを防ぐため、ぜひ『SiteGuard WP Plugin』のインストールをお願いいたします。
WordPressへの攻撃に対する検知・防御機能に関して | ロリポップ公式サイトより引用

 

→→▼ロリポップ!レンタルサーバーはこちら
 

レンタルサーバーも推奨しているプラグインなら信頼できますね。

 
 

SiteGuardの導入

SiteGuardのインストール

まずは、Site Guard WP Pluginをインストールしていきます。プラグイン>新規追加を選択します。
プラグイン>新規追加
 

キーワードに「SiteGuard」と入力します。表示されたSiteGuardを今すぐインストールします。
WP SiteGuard 今すぐインストール
 

SiteGuardを有効化します。
WP SiteGuard 有効化
 

以上で、SiteGuardの導入は完了です。SiteGuardの設定は、管理メニューのSiteGuard>ダッシュボードからセキュリティの設定ができます。

 

SiteGuardは導入しただけで、セキュリティ機能が有効化されます。次回ログインするときは、かな入力の画像認証が追加されています。
ログインフォームのかな文字が表示される画像認証が追加されました
 

(補足)ログイン先のURLについて

http(s)://サイトURL/wp-login.phpで普段アクセスしている方は、SiteGuardを有効化するとログインURLが自動的に変更されるので注意しましょう。

ログインURLはSiteGuard>ダッシュボードのログインページ変更から確認・変更することができます。
ログインページ変更
 

確認を忘れた場合は、WordPress管理者宛にメールでも通知されているはずなのでメールを確認してみましょう。
ログインページ変更の通知
 

ただし、http(s)://サイトURL/wp-admin/で普段アクセスしている方は、これまで通りリダイレクトされてログイン画面に入ることはできます(後半で説明)。

 
 

SiteGuardの基本的な設定

SiteGuardは有効化するだけで、すでに基本機能が有効化されますので、セキュリティが強化されます。
 

基本は初期状態のままでも問題ありませんが、ここでは、「ログインアラート」と「更新通知」をOFFにする設定を説明します。
 

SiteGuard>ダッシュボードを選択します。

 

SiteGuardの設定画面が表示されます。
WordPress プラグイン SiteGuardの設定
 

管理メニューのSiteGuard>ダッシュボードから「ログインアラート」と「更新通知」をそれぞれOFFにしましょう。


 

ログインアラートをOFFにして保存する
SiteGuardの設定 ログインアラートをOFFに
 

更新通知をOFFにして保存する
SiteGuardの設定 更新通知をOFFに
 

ちなみに二つの設定はどんな意味があるんでしょうか??

ログインアラートも更新通知もメール通知をする機能です。メールがたくさん来るので今回はOFFにしましたが、少しでもセキュリティをあげたいという方はONのままでよいでしょう。

 

  • ログインアラート・・・ログインするたびにメールが通知されますが、第三者がログインした時にもすぐに通知されるので、一定のセキュリティ効果があります。
  • 更新通知・・・WordPressやプラグイン、テーマの更新版がリリースされたらメール通知されます。

 

■SiteGuardログインメール通知の例
SiteGuardログインメール通知
 

合わせて読みたいセキュリティ設定

初期状態では、WordPressのログインユーザーIDがブログなどでそのまま表示される場合があります。WordPressのログインユーザーIDをブログから見えないように設定もしておきましょう。詳しくは「WordPressのログインユーザーID表示を隠す方法とセキュリティ設定【author設定】」をご覧ください。

WordPressのログインユーザーID表示を隠す方法とセキュリティ設定【author設定】

 
 

WP SiteGuardの各種設定の説明

SiteGuardはプラグインを有効化しただけで基本的に効果がありますが、ここでは、各種設定の意味についてもう少し詳しく説明をしていきます。
 

SiteGuardでは、下記のセキュリティ設定ができます。
WordPress プラグイン SiteGuardの設定
 

設定項目意味
管理ページアクセス制限 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更 ログインページ名を変更します。
画像認証 ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージを単一のあいまいになメッセージにします。
ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート ログインがあったことを、メールで通知します。
フェールワンス 正しい入力を行なっても、ログインを一回失敗します。
XMLRPC防御 XML RPCの悪用を防ぎます。
更新通知 WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
WAFチューニングサポート WAF(SiteGuard Lite)の除外ルールを作成します。

 

ここでは、それぞれ簡単な意味を説明していきますね。

 
 

管理ページアクセス制限機能の特徴

管理ページアクセス制限
 

管理ページアクセス制限は管理ページをIPアドレスにより制限する機能です。初期状態はOFFになっています。OFFのままでも良いですが、ONにすることでログインしていない端末から/wp-admin/にアクセスしたときに404エラーページを表示して不正ログイン攻撃を防ぐことができます。
 

404エラー画面
 

(注意)本機能をONにする前に

管理ページアクセス制限はセキュリティ機能の向上につながりますが、WordPressを始めたばかりの方やFTPでサーバーの中を触れる人以外は本機能をONにすると最悪ログインできなくなるのでおすすめしません。
 

また、管理ページアクセス制限機能をONにする場合は、ONにする前にログインページ変更のURLを必ずメモしておきましょう。
 

ログインページ変更
 
本機能を有効化すると、http(s)://サイトのURL/wp-admin/での管理者ページログインはできなくなります。代わりに、https(s)://サイトのURL/login_xxxxxでログインする必要があります。
 
このURLを忘れるとログインできなくなり、復旧にはFTPで.htaccessを確認したり、SiteGuardを無効化したりする必要があるため、少し手間がかかります。

参考)FAQ | JP-Secure

また、ブラウザによってはキャッシュ機能によって、https(s)://サイトのURL/login_xxxxxでログインした後で403エラーが表示される場合がありますが、その場合は、キャッシュをクリアして読み込みしましょう。

 

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

 

管理ページアクセス制限について | 公式サイトJP-Secure
 
 

ログインページ変更機能の特徴

ログインページ変更
 

ログインページ変更は通常のログインページ「https://サイトURL/wp-login.php」のアドレスを「https://サイトURL/login_xxxxx(5桁の乱数).php」に変更する機能です。初期状態はONになっています。不正ログインに対するセキュリティ強度を上げるのでONのままにしておきましょう。
 

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

 

ただし、http(s)://サイトURL/wp-admin/で普段アクセスしている方は、これまで通りリダイレクトされてログイン画面に入ることはできます。リダイレクトを禁止する場合は、前述の管理ページアクセス制限を併用する必要があります。
 

ログインページ変更について | 公式サイトJP-Secure
 

余談ですが、レンタルサーバー自身のセキュリティ機能として、海外のIPアドレスからの管理画面URL(/wp-admin/)へのアクセスを制限しているレンタルサーバーも多いです。

■海外のIPアドレスからアクセスした例(下記はエックスサーバー)
海外からアクセス(/wp-admin) アクセス制限が有効化されている
 

→→レンタルサーバー Xserver

 
 

画像認証機能の特徴

画像認証
 

画像認証は、ログインやコメントフォームに画像認証を設ける機能です。ひらがなと英数字を選ぶことができます。初期状態はONになっています。不正ログインに対するセキュリティ強度を上げるのでONのままにしておきましょう。
 

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。

 

■ログインフォームの例。かな文字が表示されている。
されました
 

画像認証の文字は、ひらがなと英数字が選択できますが、英語は世界中で使われていて入力しやすい文字なのでひらがなの方が良いでしょう

 

画像認証について | 公式サイトJP-Secure
 
 

ログイン詳細エラーメッセージの無効化機能の特徴

ログイン詳細エラーメッセージ無効化
 

ログイン失敗時のエラーメッセージを曖昧にする機能です。初期状態はONになっています。不正ログインを防ぐセキュリティ機能を上げる効果がありますのでONのままにしておきましょう。
 

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

 

WordPress初期状態では、ログイン時にユーザーIDが間違っていたらユーザーIDが違う・パスワードが間違っていたらパスワードが違うと親切にエラーメッセージを表示させてしまいますが、不正ログインのヒントにもなってしまいます。ログイン詳細エラーメッセージの無効化をONにすることでエラーメッセージからログイン情報を把握できなくなります。
 

■SiteGuard有効化前 ログインエラーメッセージが詳細で類推できてしまう
SiteGuard有効化前 ログインエラーメッセージが詳細で類推できてしまう
 

■SiteGuard有効化後 ログインエラーメッセージが曖昧になっている
SiteGuard有効化後 ログインエラーメッセージが曖昧になる
 

ログイン詳細エラーメッセージの無効化について | 公式サイトJP-Secure
 
 

ログインロック機能の特徴

ログインロック
 

ログインロックは、短時間にログイン試行を繰り返す端末に対して、IPアドレスを元にログインロックする機能です。初期状態はONです。不正ログインを防ぐセキュリティ機能を上げる効果がありますのでONのままにしておきましょう。
 

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。

 

ログインロックの画面
 

ログインロックについて | 公式サイトJP-Secure
 
 

ログインアラート機能の特徴

ログインアラート
 

ログインアラートは、WordPressにログインがあるたびにログインユーザー(通常は管理者)にメールが送信されます。初期状態はONになっていますが、メール通知されるのが嫌な方はOFFにしてもよいかもしれません。
 

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)XML-RPCによるアクセスは通知されません。

 

ログインアラートについて | 公式サイトJP-Secure
 
 

フェールワンス機能の特徴

フェールワンス
 

フェールワンスは正しいログインをしても一度ログイン失敗にする「Fail Once(一回失敗)」機能です。初期状態はOFFですが、セキュリティをあげたい方はONにしても良いと思います。
 

正しいログイン情報でも一回失敗させることで、万一第三者が正しいIDとパスワード情報を入力しても、第三者はログイン失敗したように思うのでセキュリティを上げる効果があります。

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

 

フェールワンスについて | 公式サイトJP-Secure
 
 

XMLRPC防御機能の特徴

XML RPC防御
 

XMLRPC防御は、ピンバック機能(リンク元がリンク先に通知する機能)の無効化、または、XMLRPC( xmlrpc.php )を無効化する機能です。初期状態ではONになっています。通常は、ONのままで良いでしょう。
 

WordPressのXML RPCとは

WordPressのXML RPCとは、WordPressの管理画面からではなく、プログラムなどでWordPressの外側からWordPressをコントロールするための機能です。XMLといわれるデータ形式で通信します。
例. 外側のプログラムから、投稿を作成したり削除したり、など

 

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。

 

XMLRPC防御について | 公式サイトJP-Secure
 
 

更新通知機能の特徴

更新通知
 

更新通知とは、WordPress本体、プラグイン、テーマの新しいバージョンがリリースされたときに管理者にメール通知する機能です。初期状態ではONになっていますが、メールがたくさん通知されるのを避けたい人はOFFにしても良いでしょう。
 

セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

 

更新通知について | 公式サイトJP-Secure
 
 

WAFチューニングサポート機能の特徴

WAFチューニングサポート
 

WAFチューニングサポートとは、WAF(Web Application FireWall)の除外設定をする機能です。必要なとき以外は初期状態のまま何も設定しなくてもOKです。
 

レンタルサーバーでWAF有効化されている場合に、まれに誤検知で意図せずWAFによるエラー(403エラー)が起きる場合があります。そういった場合にプログラムごとに除外設定を行うことができます。

 

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

 

WAFチューニングサポートについて | 公式サイトJP-Secure
 
 

詳細設定機能の特徴

詳細設定
 

詳細設定は、IPアドレスの取得方法を設定する機能です。通常は何も設定しなくてもOKです。
 

IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-Forの値の右端から何番目かを表します。

 

詳細設定について | 公式サイトJP-Secure
 
 

ログイン履歴機能の特徴

ログイン履歴

ログイン履歴は、ログインした履歴を一覧で閲覧する機能です。不正ログインを機にする場合にログイン履歴を閲覧できます。通常は何もしなくて構いません。
 

ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。

 

ログイン履歴について | 公式サイトJP-Secure
 

まとめ

まとめです。今回は、セキュリティ対策プラグイン「SiteGuard WP Plugin」の使い方について説明しました。
 

セキュリティの設定は奥が深く、難易度が上がるためここでは簡単にできる設定のみ紹介しましたが、用途や重要度に応じてもっと厳しく設定する必要がある場合もあります。
 

セキュリティは考え始めたらキリがありません。まずは、戸締りをしっかりするのと同様に、基本的なところをしっかり設定しておきましょう。

 

まずは、パスワードを複雑にする(記号や大文字・小文字など入れて8桁以上・類推されにくいものにするなど)など、基本的なところも絶対に意識しておきましょう。
 

今回は以上になります。最後までご覧いただきありがとうございました。
 

合わせて読みたいセキュリティ設定

初期状態では、WordPressのログインユーザーIDがブログなどでそのまま表示される場合があります。WordPressのログインユーザーIDをブログから見えないように設定もしておきましょう。詳しくは「WordPressのログインユーザーID表示を隠す方法とセキュリティ設定【author設定】」をご覧ください。

WordPressのログインユーザーID表示を隠す方法とセキュリティ設定【author設定】

 
 


弊社は、自分でホームページを作ることを推奨しています。「業者に任せたけど、更新ができない」「本で独学は時間がかかりすぎる・・」そんなお悩みの方も多いのではないでしょうか。

個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
無料事前相談もしておりますので、まずはお気軽にご登録ください。

詳細はこちら


 

【WordPress対応】自分でホームページ・ブログを作成したいWebスクールWEBST8
WordPress 自分でホームページ・ブログを作成したい個人事業主のためのWebスクール・教室 ウェブストエイト


 

おすすめ記事3選

【2019年度】WordPressブログアフィリエイトにおすすめのテーマ5選

ブログアフィリエイトを本格的に始めるなら、広告の埋め込み機能をはじめ記事装飾・デザイン機能が圧倒的に豊富なブログに特化した有料テーマがおすすめです。 当ブログで利用している「AFFINGER5」や関連サイトで利用している「賢威」をはじめ、アフィリエイトでおすすめ・実績のあるテーマを5選ご紹介していきます。

【初心者向け】WordPressを使ったアフィリエイトの始め方を徹底解説

これから初めてWordPressでアフィリエイトを始めようと思った時に、まず何から手をつけたら良いかわからないという方が多いのではないでしょうか。 本記事では、WordPressでアフィリエイトを始めたい初心者を対象にアフィリエイトの始め方をご紹介していきます。

【2019年版WordPress(ワードプレス)の使い方総まとめ】

本記事ではWordPress(ワードプレス)を使ってホームページまたはブログサイトを作りたい初心者の方向けに、WordPressの導入から使い方まで、総まとめ編として説明していきます。 WordPressの使い方をしっかり勉強したい方はぜひご覧ください。 (※)WordPress5.0から実装された最新のブロックエディター(グーテンベルグエディター)にも対応しています。

-WordPress
-, ,

Copyright© WEBST8 , 2019 All Rights Reserved Powered by AFFINGER5.