HOMEワードプレスのSiteGuard WP Pluginの使い方【セキュリティ対策プラグイン】
投稿日:
このページにはGoogleアドセンス広告とアフィリエイト広告が含まれています。
本記事は執筆時点(2021年09月03日)の情報をベースにしております。掲載している情報が最新ではない可能性がありますので何卒ご容赦ください。
ワードプレスのセキュリティ対策とは?
WEBサイトは、悪意あるハッカーから常に狙われています。特にワードプレスはオープンソースである上に世界的なシェアを誇る為、狙われるリスクも高いので注意が必要です。
セキュリティ対策が甘いとどんなことが起きるのか?
代表的なものを挙げるとするならば、不正ログインによるサイト改ざんです。ハッカーによってサイトが勝手に書き換えられ、ユーザーの個人情報を盗み出したり、他のサイトに誘導するといった悪質な犯罪に自分のサイトが知らない間に利用されてしまいます。
ワードプレスにはセキュリティ対策が必須
ワードプレスをインストールしてそのままの状態で使用し続けることはとても危険です。ワードプレスの持つ脆弱性を理解しセキュリティ対策をしっかり実施しましょう。
このページではワードプレスでサイトを公開運用していくうえで最低限行っておくべき対策の中でも無料で行えるものを紹介していきます。
ワードプレスでセキュリティ対策を行うには?
WEBサイトのセキュリティ対策に必要な知識は、サイト制作の知識とは異なります。HTMLやCSSがわかっていてもセキュリティ対策が行えるわけではありません。
もちろんそういったセキュリティ対策の専門知識まで習得できればそれに越したことはありませんが、一朝一夕で習得できるものではありませんし、中途半端な知識でセキュリティ対策を施しても効果が得られないばかりか、予期せぬエラーを引き起こしかねません。
さらに言えばハッキング等の技術はアップデートされ続けているので、セキュリティ対策もそれに対処するために更新し続けなければなりません。
そう考えるとゼロから自分の手でセキュリティ対策を構築していくのは現実的ではありません。
ワードプレスの強みであるプラグインにセキュリティ対策も任せてしまうのが一番簡単でそして確実です。
「SiteGuard WP Plugin」プラグインの使い方
ここでは「SiteGuard WP Plugin」というセキュリティ対策プラグインの使い方を説明します。
セキュリティ対策プラグインはいくつも存在しますが、しっかりとセキュリティ対策が出来るものを見極めなければプラグインを導入する意味がなくなってしまいます。
このSiteGuard WP Pluginは無料で使えるうえ、400,000以上のサイトで導入されている実績もあり、インターネット上に使用方法などの記事も豊富に存在しているため困ったことがあっても解決しやすく安心です。
また、日本の企業が制作しているため説明なども日本語で記載されており使いやすいという点もSiteGuard WP Pluginの良い所です。
「SiteGuard WP Plugin」でできること
このプラグインでは主にログインページや管理画面のセキュリティ対策を行うことが可能です。
ワードプレスはログインの仕組みなどが知れ渡ってしまっているため、ログインページは多くの危険に晒されています。中でもログインページのURLがデフォルトの「末尾にwp-admin」のままでは、だれでも簡単にログインページまでたどり着けてしまい、いくら複雑なパスワードを設定しても総当たり攻撃によって突破されてしまう危険が高まります。
このプラグインを使えばそういったログインページへのセキュリティ対策を施すことができます。
「SiteGuard WP Plugin」の導入手順
ここからは「SiteGuard WP Plugin」をインストールしてサイトに導入して設定する方法を説明していきます。
プラグインはサイトに予期せぬ不具合ももたらす可能性があります。プラグインの使用はバックアップを取るなどしたうえで自己責任でお願い致します。なおこの説明ではワードプレスのバージョンは5.8、プラグインのバージョンは1.6.0のものを使用しています。
ワードプレスのプラグインとは?【使い方解説】
ワードプレスの拡張機能であるプラグインをインストールして使用する手順から、削除などの管理の方法、そしてプラグインの種類について説明します。ワードプレスは初期状態では記事作成などの機能しか備わっていないので必要な機能だけをプラグインという形で好きなように追加して使用します。...【もっと読む】
SiteGuard WP Pluginをインストールして有効化
ワードプレスの管理画面左側のメニューにからプラグインの「新規追加」をクリックし「SiteGuard WP Plugin」で検索します。
表示された「SiteGuard WP Plugin」プラグインをインストールして有効化します。
プラグインを有効化すると、自動的にログインページのURLが「login_ランダムな5桁の数字」に変更されます。後で設定画面で任意の文字列に変更もしくは無効化するまでは、この「login_ランダムな5桁の数字」でないとログインページにアクセスできなくなってしまいますのでメモするなどして忘れないようにしてください。
プラグインを有効化しただけではセキュリティ対策は完了していません。プラグインの設定でサイトに必要な機能を変更しましょう。
各機能のON・OFFと設定
プラグインを有効化するとワードプレス管理画面左側のメニューに「SiteGuard」という項目が追加され、プラグインの設定画面を開くことができるようになります。
設定画面では、プラグインに備わっている機能のON・OFFを切替え、詳細を変更することが可能です。
ここからは各機能について説明していきます。
ダッシュボード
「SiteGuard WP Plugin」による各機能のON/OFFの状態が一覧で確認できます。ON/OFFの切り替えは各機能の設定画面に移りそれぞれ行う必要があります。
管理ページアクセス制限
ログインしたことが無いIPアドレスからはアクセスできないようにします。なお24時間以上ログインされていないIPアドレスは削除されてしまうなど制限が厳しく、管理者なのにアクセスできないトラブルが起きる恐れがあるので注意して下さい。
ログインページ変更
前述の通りこのプラグインを有効すると自動でログインURLが変更されますが、この画面で無効化したり任意の文字列に変更することが可能です。
「管理者ページ(/wp-admin/)からログインページへリダイレクトしない」にはチェックを入れましょう。リダイレクトするようにしているとwp-adminでアクセスしたときに変更後のログインURLに自動でリダイレクトしてしまい、結果的ログインページにたどり着けてしまううえに、変更したログインURLもバレてしまうので台無しです。
画像認証
ログインページに文字認証機能を追加します。ひらがなと英数字が選べますが、ひらがな認証にしておけば海外からの不正アクセスへの対策としての効果が高まるのでおすすめです。
ログイン詳細エラーメッセージの無効化
ワードプレスのデフォルトでは、ログインを失敗したときにユーザー名、パスワードのどれを間違えたかによって異なるエラーメッセージが表示され、第三者の推測の手がかりになってしまう可能性があります。この機能をONにするとログイン時にユーザー名、パスワード、画像認証のどれを間違えても「入力内容を確認の上、もう一度送信してください。」というエラーメッセージに変更してくれます。
ログインロック
期間内で一定数を上回るログインの失敗があった場合、IPアドレスをブロックする機能です。
ログインアラート
ログインするごとにメールに通知が届く機能です。不要であればOFFでも構わないと思います。
フェールワンス
正しい入力を行っても必ず最初の一回はログインエラーにする機能です。不要であればOFFでも構わないと思います。
XMLRPC防御
デフォルトのままでOKです。
ユーザー名漏洩防御
URL末尾に"/?author=数字"を付けてアクセスするとユーザー名が漏洩してしまうことを防止してくれます。実際にアクセスしてみてユーザー名が表示されてしまうようであればONにしましょう。
更新通知
ワードプレスやプラグインの更新が可能になったときにメールで通知してくれます。不要であればOFFにしましょう。
WAFチューニングサポート
OFFにしていてOKです。
詳細設定
デフォルトのままでOKです。
ログイン履歴
ログインの成功失敗といった履歴が確認されます。怪しいアクセスがされていないか確認しましょう。
その他のセキュリティ対策
プラグインを導入する以外にも合わせてワードプレスで行っておくべきセキュリティ対策について説明します。
推測されづらいユーザー名とパスワードに変更
ユーザー名を「user」や「admin」、ドメインから連想できるようなワードにしてしまってはいないでしょうか?同じくパスワードにもシンプルな単語だけにしてしまってはいないでしょうか?セキュリティ対策の基本となる部分ですのでおろそかにしないようにしましょう。
常に最新バージョンを保つ
定期的に行われるワードプレスのバージョンアップは、単に機能が追加されるだけでなく、脆弱性に対する改善というものも含まれています。バージョンアップを怠れば、これらの脆弱性が放置された状態になりサイトのセキュリティの低下を招きます。テーマ・プラグインも同様です。単純なことですが、更新の通知があった際にはなるべく早く実施し常に最新のバージョンを保つようにしましょう。
テーマ・プラグインは公式のものを使用する
ワードプレスは様々なテーマ・プラグインが利用できることが優れた点です。しかしそれらの中には、ワードプレスの審査を通過していない非公式のものも多く含まれます。そういったものは便利であっても安全性が保障されていないので注意が必要です。非公式だからといって全てが悪いわけではありませんが、セキュリティを意識するのであれば管理画面からの検索に表示される公式のテーマ・プラグインを利用することをおすすめします。
使用していないプラグインやテーマは削除する
無効化状態であってもサイトにインストールしてあるテーマ・プラグインはハッカーに狙われる恐れがあるとされています。更新せずに古いバージョンのままで放置しているとより危険です。使わなくなったものは速やかに削除するようにしましょう。
パーミッションの変更
サーバー上にあるワードプレスの主要ファイルは誰でも閲覧や書き換えが可能な状態のままになっていることが多く危険です。FTPソフトを利用して書き換え等の制限である「パーミッションの変更」を行いましょう。
まとめ
どこまでセキュリティ対策を行えば万全といえるのかはわかりませんが、これらの対策は最低限行っておいた方が良いと思います。「SiteGuard WP Plugin」以外にもセキュリティ対策プラグインはありますが、少なくともログインURLの変更は行っておいた方が良いと思います。実際に不正アクセスされた場合、googleから危険なサイトと表示されたり、サーバーのファイルが書き換えられたり、覚えのないファイルがアップロードされたりしました。ああしておけばこうしておけばと後悔ないようにきっちり対策しましょう。
元も子もない話ですが、これらの対策を行っていてもハッカーに突破される可能性は決してゼロにはなりません。こまめにサイトを見てしておかしな点が無いかチェックしたり、万が一に備え定期的にバックアップをとっておくことも必要です。