その手軽さとカスタマイズ性の高さが魅力のWordPressですが、セキュリティ対策となるとなかなか敷居が高いものです。
「wp-config」「パーミッション」「htaccess」…
調べてはみたものの、難しくて「もういいや…このままで」と放置している人も多いのではないでしょうか?
でも、つい最近もバーション4.7.0と4.7.1の脆弱性について報じられたばかりでもあり、やはり用心するに越したことはありません。
今日ご紹介する「SiteGuard WP Plugin」は、WordPressへの「ブルートフォースアタック」対策が簡単にできるプラグインです。
→ SiteGuard WP Plugin — WordPress Plugins
インストールと有効化
- プラグインの新規追加で「SiteGuard WP Plugin」と検索し、今すぐインストール>有効化します。
- 有効化すると、WordPressのログインURLがすぐに変更されるので注意してください!
ブックマークするなどして控えておきましょう。
設定
インストールすると、管理画面に「SiteGuard」のメニューが出来ています。
ダッシュボード
「ダッシュボード」では、設定の状態を一覧で見ることができます。
機能を有効にすると、先頭のチェックマークが緑色になります。
一番下の「ログイン履歴」をクリックすると、プラグインをインストールしてからのログインの記録が見れます。
最大10,000件記録してくれます。
管理ページアクセス制限
デフォルト:OFF
ログインしていないユーザーが、管理画面にアクセスしようとすると「404エラー(Not Found)」を返す機能です。
ログインしていないIPアドレスからのアクセスを許可するには「除外パス」にパスを入力します。
ログインページ変更
デフォルト:ON
プラグインを有効化した時に、ログインページURLが自動で設定されますが、ここで任意の名前に変えることもできます。
画像認証
デフォルト:ON
ログインページやコメントページに、画像認証機能を追加することができます。
画像認証をONにすると、以下のように入力のボックスが追加されています。
ログイン詳細エラーメッセージの無効化
デフォルト:ON
通常、WordPressでログインに失敗すると、以下のようなメッセージが表示されます。
これだと、攻撃してくる相手にヒントを与えてしまうことになるので、このエラーメッセージをすべて同じ内容にするという機能です。
ログインロック
デフォルト:ON
指定した期間内に、一定回数のログインの失敗があると、そのユーザーをロックする機能です。
プログラムによる機械的な攻撃に有効です。
以下の設定だと、「5秒以内に3回ログインに失敗すると、1分間ロックする」ということですね。
ログインアラート
デフォルト:ON
この機能をONにしていると、ログインがある度にメールで通知が来るので、身に覚えのないログインをすぐに感知できます。
件名・メール本文の内容は編集が可能です。
受信者「管理者のみ」にチェックを入れると、管理者権限ユーザーだけに送信されます。
フェールワンス
デフォルト:OFF
この機能をONにすると、初回のログインは必ず失敗します。
万が一、攻撃相手が正しいログイン情報を入力できたとしてもはじかれてしまうので、効果はありそうですね。
自分がログインする時はちょっとめんどくさいですが;
XMLRPC防御
デフォルト:ON
ピンバック(他のブログにリンクが貼られたことを通知する機能)、またはXMLRPC(簡単に言うと、遠隔操作で記事の投稿ができる機能)を無効化できます。
WordPressのディスカッション設定で「ピンバックを受け取る」にしていても、無効化されるようです。
更新通知
デフォルト:ON
WordPress本体、プラグイン、テーマの更新通知を受け取るかどうかの設定です。
セキュリティ対策にはまず、最新のバージョンにしておくことが鉄則なので、有効にしておいたほうがいいでしょう。
WAFチューニングサポート
デフォルト:OFF
このプラグインを開発した「JP-Secure」の製品、「SiteGuard Lite」がサーバーにインストールされている場合に設定します。
以上、セキュリティプラグイン「SiteGuard WP Plugin」の設定についてでした。
セキュリティ対策はいくらやっても万全とはいきませんが、出来る限りのことはしておきたいですね。
