WordPress

「SiteGuard WP Plugin」を入れよう【WordPressのセキュリティ対策①】

こんばんは。
WordPressはデフォルトのままだと「/wp-login.php」が丸見えだったりして、ブルートフォースアタック(総当たり攻撃)を受けやすいなどの危険性があります。
そこで今日は「WordPress」のセキュリティ対策ができるJP-Secureの「SiteGuard WP Plugin」を紹介したいと思います。

「SiteGuard WP Plugin」で出来ること

「SiteGuard WP Plugin」は一つのプラグインでたくさんの対策を実施することが出来ます。

管理ページアクセス制限

管理ディレクトリ(/wp-admin/)へのアクセスをブロックしてくれます。
デフォルトでは「/wp-admin」でリダイレクトを利用してログイン画面にアクセス出来てしまいます。
必須です。これやらないと次の項目でログインURLを変えてもログイン画面にいけちゃいます。

ログインページ変更

ログインページ名を変更できます。
デフォルトだと「/wp-login.php」でログイン画面にアクセス出来てしまいますが、それを不正でくれます。
必須項目ですね。管理ページアクセス制限とセットでやりましょう。

画像認証

ログインページ、コメント投稿に画像認証を追加してくれます。
これはお好みで。ログインURLを変更しないのであれば、オンにした方がいいですね。

ログイン詳細エラーメッセージの無効化

ログイン認証に失敗した際のメッセージを詳細が分からないものにしてくれます。
デフォルトでは、
「不明なユーザー名です。再確認するかメールアドレスによる指定をお試しください。」
「エラー: メールアドレス XXXXXXX@XXXX.jp に対して入力したパスワードが間違っています。 パスワードをお忘れですか ?」
と非常に細かくクラッキングログインのヒントを教えてくれます。
必須です。

ログインロック

一定時間に一定回数ログイン失敗を繰り返す接続元を一定期間ロックします。
私は一番厳しい「30秒間に3回ログイン失敗すると5分ロックする」ようにしています。
こちらも必須です。

ログインアラート

ログインがあったことをメールで知らせてくれます。
これはお好みでいいと思います。

フェールワンス

正しいログイン情報を入力しても1度失敗します。
お好みでどうぞ

XMLRPC防御

XMLRPCの悪用を防いでくれます。
XMLRPCとは、簡単にいうと外部システムから投稿を行ったりする際に利用する仕組みです。
不正アクセスを試みるログをたくさん見てきましたが、この機能を利用したログイン試行が圧倒的に多いです。
ログインURLを適切に変えていると、XMLRPCを使わないログイン試行は限りなくないと言えると思います。
なので、XMLRPC防御は必須、それも厳しく「XMLRPC無効化」をして下さい。
と、言いたいのですが、様々なプラグインがXMLRPCを利用しているんです。なので、ご自身のサイトのプラグインがXMLRPCを使っているか確かめた上で、無効化してください。
せめて「ピンバック無効化」でもいいので、できる限りやった方がいいです。

更新通知

WordPress本体、プラグイン、テーマに更新があればメールで知らせてくれます。
これはお好みで

WAFチューニングサポート

これはWAF(Web Application Firewall / ウェブ アプリケーション ファイアウォール)を使っている人が対象です。
WAFを入れていると時々記事を更新して公開しようとするとブロックされたりします。そういうときにこの機能を使って、シグネチャと呼ばれるものを登録して、そのシグネチャに該当する処理は見逃してもらおう。と、つまりはそんな機能です。
ただし、シグネチャで除外されるのはその処理だけじゃないです。WAFの定義ファイルもセキュリティ上見せてもらえないので、もし同じシグネチャに分類されるような攻撃があったら、この機能で見逃す設定にしていると攻撃が通ってしまうということになります。
なので、上の例でいくと更新が終わったらまた「WAFチューニングサポート」はオフにしておくとか、そういった運用がいいと思います。
出来る限りオフで。(WAFが使えるサーバーであればWAFはオンにしておきましょう。ブラックボックスですが心強い味方です。)

デメリットは ほぼなし

「SiteGuard WP Plugin」にデメリットはほぼありません。アップデートしなければならないものが一つ増えるというくらいでしょうか。

まとめ

WordPressでサイトを作って、まだ何の対策もしていない方はぜひ「SiteGuard WP Plugin」を入れてみてください。
各機能のオンオフもこの記事を参考にして頂ければ問題なく理解しながら設定できると思います。
また、最近のサーバにはWAF(ウェブアプリケーションファイアウォール)が使えるサーバーが多いです。(さくらサーバ、Xserver、など)
もしWAFが使えるサーバーを契約していたらぜひWAFも使ってください。
サーバーの検討をしている方はWAFのあるサーバーを基準に選ぶといいと思います。金額的にも、さくらサーバ、Xserverがおすすめです。

それでは、次回の更新もお楽しみに。おやすみなさい。



スリーピース(数字の3)がやりにくいなぁと思っていたら病気だった件前のページ

予約投稿が動かない。そんなときは「wp-cron」を確認しよう。次のページ

関連記事

  1. ウェブ系

    ウェブサイトを常時SSL化!httpsを強制する方法

    Googleは常時SSL化をすすめています。ウェブサイトやブログを作っ…

  2. WordPress

    「WordPress」導入から初期設定まで

    Webサイトを作りたいけど、どうやっていいか分からない・・・・。そんな…

  3. ウェブ系

    「Cocoon」本文の上下両方にカテゴリやタグを出す方法

    今日は無料なのに高機能、WPテーマ「Cocoon」のカテゴリ・タグ表示…

  4. WordPress

    予約投稿が動かない。そんなときは「wp-cron」を確認しよう。

    こんばんは。WordPressでせっかくサイトを作ったのに、予約投…

  5. ウェブ系

    【IE11】border-radiusで角丸にすると隙間が出来るバグ

    Googleは常時SSL化をすすめています。ウェブサイトやブログを作っ…

  6. ウェブ系

    「Cocoon」のサイドバーでモバイル用の広告ウィジェットを表示させる方法

    こんばんは。WPテーマで有名な「Cocoon(コクーン)」は、モバ…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

PAGE TOP