WordPressプラグイン「SiteGuard」でセキュリティ対策をしよう

保守・セキュリティ対策
2021.02.22

前回の記事で、WordPressのセキュリティ対策についてお話しましたが、今回はプラグインを使って手軽にセキュリティ対策ができる方法についてご紹介します。

その名も「SiteGuard」というプラグインです。

このプラグインを利用することで、WordPressの管理画面に対する攻撃に対しては、極めて堅牢な対処が可能になります。

今日はSiteGuard詳しい使い方や、気をつけたいポイントをご紹介します。

SiteGuardとは?

SiteGuardは、株式会社ジェイピー・セキュアが開発した日本製のセキュリティプラグインです。
純国産のため日本語でもわかりやすく、操作もシンプルでインストールするだけで簡単に設定することができます。

設定できる機能

SiteGuardを使って設定できる機能には次のようなものがあります。

管理ページアクセス制限 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更 ログインページ名を変更します。
画像認証 ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート ログインがあったことを、メールで通知します。
フェールワンス 正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御 XMLRPCの悪用を防ぎます。
更新通知 WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポート WAF (SiteGuard Lite)の除外リストを作成します。

基本的にどの機能も有効なのですが、中でも特にデメリットなく手軽におすすめできる機能をご紹介しましょう。

管理ページアクセス制限

ログインしていないユーザーからの、管理ページへのアクセスを制限します。
ログイン時にIPアドレスが記録され、記録されたIP以外からのアクセスを遮断する仕組みです。
この機能によって、外部から不正に管理画面内に入られるリスクを軽減できます。

ログインページ変更

WordPressのログインURLは、通常「ドメイン名/wp-login.php」になるため、悪意ある第三者にログインページが簡単にわかってしまう問題があります。
この機能は、ログインURLを「ドメイン名/login_XXXX.php」というランダムな数列に置き換えることで、ログインURLを露見させないことが可能です。

画像認証

画像認証は、ログイン画面に画像で書かれたランダムな文字列を表示させ、それを入力しないとログインできなくする機能です。今のところ、プログラムやロボットでは画像に書かれた文字を認識できないため、いわゆるブルーフォースアタックなどの対策に有効です。

ログイン詳細エラーメッセージの無効化

通常WordPressでは、ログインに失敗すると「IDが異なります」「パスワードが異なります」などの表示がされるため、これをヒントに不正ログインされる可能性が高まります。
この機能では、何が間違っているかなどの詳細を表示させなくすることでセキュリティを高める効果があります。

おまけ:便利な「ログイン履歴」

とくに設定が不要ですが、便利な機能に「ログイン履歴」があります。
この画面では、ログインを試みたIPアドレスや日時が表示されます。覚えがない更新などがされた場合、いつ誰がログインできたかを把握できます。
また、大量のログイン失敗なども確認できるケースが多く、自社の管理画面がどれだけ攻撃を受けているかわかるので改めてセキュリティの重要性を実感できるきっかけになるかもしれません。

SiteGuardをインストールしてみよう

では具体的にSiteGuardをインストールして設定してみましょう

管理画面>プラグイン>新規追加で「SiteGuard」を検索します。
インストールして有効化してください。

メニューのSiteGuardを開くと、設定画面が表示されます

※デフォルトの設定だと、インストール時点で「ログインURL」が変更されています。
管理ページアクセス制限をONにしていなければ「インストールURL/wp-admin/」でログイン画面にリダイレクトされますが、もしONにしていてログインURLをメモしていないとログインできなくなります。必ずメモするようにしましょう。もし誤ってログインできなくなった場合には、こちらを参考に復旧させてください。

セキュリティはSiteGuardだけでは担保できない

とても簡単に設定できるSiteGuardですが、これだけでセキュリティは万全というわけにはいきません。
例えば、WordPressのデフォルトの機能を利用すれば、ログインユーザー名を簡単に特定できたり、セッションハイジャックされてしまったり、という可能性もありますので過信しないように気をつけましょう。

ただ、一番リスクの高い部分を簡単に対策できるので、とても便利です。
基本的にWordPressを利用する場合には、このプラグインを設定してしっかりセキュリティ対策を行っていきましょう。

WordPressのよくあるセキュリティトラブルとその対策については、↓こちらにもまとめていますのでよろしければご覧ください。

Webサイトのセキュリティ対策(WordPress編)
最近Webサイトのセキュリティ対策について、ご相談をいただく機会が増えてきました。 特にWordPressで作られたサイトでは、以下のような事例があります。 ・気づかないうちに英語で書かれた謎の記事が大量に投稿されている ・迷惑メールが大量
plasol.co.jp

Webサイトだけでなく、業務用ツールもセキュリティ対策しましょう。

429 Too Many Requests
plasol.co.jp

また、プラソルでは、セキュリティ対策をはじめたとした保守対応も行っております。
ご希望の方、ご相談したいという方はお気軽にご相談ください。

お問い合わせはこちら

]]>