[WordPress] SiteGuard WP Pluginでセキュリティ対策

WordPress

WordPressは、無料かつ簡単・気軽に導入できるブログ機能で、私も多数のサイト制作・運用で利用してきました。

この「無料、簡単、気軽」というところは、WordPressの最大のメリットとも言えます。
WordPressは世界中に多くのユーザがいて、CMSのシェア率は2021年7月15日の段階で65.1%になります。
個人だけでなく、企業や公的機関でも多く利用されているため、ユーザー層の幅広さも他に類を見ないものだと思います。

このような状況と背中合わせで存在するのが、セキュリティ問題です。
「世界中で利用されている=世界中から狙われている」と考えておく必要があります。
サーバ側、WordPress本体側で、セキュリティ対策が何もされていない場合、想像している以上に簡単にサイトを乗っ取られてしまいます。

SiteGuard WP Plugin設定方法

WordPressのセキュリティ対策を何もしないという選択肢は基本的にありません。
利用しているサーバー側での最低限の対応などもありますが、プラグインで対応できるものもあります。

今回は「SiteGuard WP Plugin」をインストールし、WordPressの運営サイトのセキュリテイ対策を設定します。

レンタルサーバーのConoHa WINGからWordPressをインストールする場合は、「SiteGuard WP Plugin」も一緒にインストールされます。

初期設定

「SiteGuard WP Plugin」をインストールし有効化すると、左メニューにアイコンが表示されます。
ダッシュボードに行くと、設定状況を一覧で確認することがでいます。

初期設定は以下のようになっています。

「管理ページアクセス制限」「フェールワンス」「ユーザー名漏洩防御」「WAFチューニングサポート」は初期ではOFFになっていて、その他は有効化されています。

今回は「SiteGuard WP Plugin」が推奨する設定のままで利用します。

サイトの種類やプロジェクトごとの運営・管理の基準によって、設定内容は調整してください。

ログインページ変更

WordPressのログインページURLは「ドメインURL」+「wp-login.php」になります。
ログインページURLを変更することで、ログイン画面へのアクセス自体を避ける方法です。

「ON」の状態にすると、ログインページ名を変更できるエリアに「login_数字数桁」が記載されています。
特にこだわりがない場合は、そのままの状態で問題ないです。

URLは自分で好きな情報に書き換えることもできます。
その際は、できるだけ他者(不正アクセスロボット含む)が予測できないものにします。
英数字と記号を含めたランダムな文字列のものが一般的です。
自分の誕生日や電話番号などは決して使わないようにします。

初期設定で「ON」になっていますが、もし「OFF」になっていたら必ず「ON」に切り替えてください。

画像認証

ログインの際に画像認証できる機能を追加します。
こちらもデフォルトで「ON」になっています。

「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」画像認証の文字についての設定ができます。

基本的に初期設定のままで問題ありません。

ログイン詳細エラーメッセージの無効化

WordPressのデフォルトでは、ログインできなかった際にエラーの原因を教えてくれるようになっています。
ユーザ名やパスワードが間違っているといった情報は、実際のユーザーにとっては助かりますが、不正アクセス側にとってはログイン情報のヒントになってしまいます。

初期設定で「ON」になっています。

ログインロック

ユーザー名やパスワードを間違えて、複数回ログインを失敗すると、ログイン自体をロックします。
不正アクセスは、何度か想定の情報でアクセスを試みるというケースがあるため、複数回失敗した場合は不正アクセスとみなして、サイトログインをロックします。

初期は、期間「5秒」、回数「3回」、ロック時間「1分」で設定されています。

ログインアラート

不正なログインがあった場合にメールで知らせを受ける機能です。
不正ログインがあった際は、できるだけ迅速に状況を把握し改善する必要があります。

初期設定では「ON」になっています。
メールのタイトルや文面は変更することができます。
特にこだわりがなければ、初期のままで問題ありません。

フェールワンス

正しいユーザ名、パスワードを入れても、必ず一度ログインを失敗させる機能です。
情報漏洩などにより、万が一正しい情報を入力されてしまった場合でもログインできないようにすることで、不正アクセスを防ぎます。

初期設定はOFFになっています。
セキュリティ度合いを高めたい場合は設定を「ON」にしてください。

XMLRPC防御

WordPressは、iphoneアプリやメールから記事を投稿するなど、本体の管理画面以外からも操作できる「XML-RPC機能」があります。

便利である一方、外部プログラムから操作できるため、セキュリティホールの一つとなり得ます。
デフォルトでは「ON」になっています。

ユーザー名漏洩防御

ログイン情報は基本「ユーザー名」と「パスワード」になります。
不正アクセスする側に「ユーザ名」を不明にさせることで、解析される可能性を下げることができます。
初期設定では「ON」になっています。

更新通知

セキュリティを強化する上で、各種プログラムを最新にしておくことが大切です。
「WordPress」「プラグイン」「テーマ」の更新情報があった際に通知を受け、管理画面からアップデートするようにします。

初期設定で「ON」になっています。

WAFチューニングサポート

レンタルしているサーバーに、WAF(WEB​アプリケーションファイアウォール)製品である、「SiteGuard Lite」が導入されている場合に利用します。

サーバー側でWEBアプリケーションを守るWAFが入っている場合、正常なアクセスであっても「HTTP 403」「Forbidden(閲覧禁止」というエラー処理をされてしまう場合があります。
除外ルールを設定して、エラーを出さないようにします。

初期設定は「OFF」になっています。

ログイン履歴

運営しているWordpressのサイトで、不正アクセスや改ざんの疑いがあった場合は、認識外のログイン情報がないか、ログイン履歴で確認します。

タイトルとURLをコピーしました