【WordPressのプラグイン】不正ログインを防ぐSiteGuardの使い方

スポンサーリンク
かぎ:「SiteGuard」の使い方神社サイト運営

パスワード総攻撃がこわい。不正ログインされたどうしよう?何かいい方法がないかな?

大丈夫です。後ほど書きますが安心して使ってください。

今回はWordpressのプラグインの不正ログインを防ぐ[SiteGuard WP Plugin]の使い方を説明します。といっても、下のリンク先を見て頂ければ大丈夫ですよ。

SiteGuard WP Pluginについて

株式会社ジェイピー・セキュアが提供する無料のWordpressのセキュリティソフトです。以下の3つに対応しています。

  • 不正ログイン
  • 管理ページへの不正アクセス
  • コメントスパム

このほかに、日本語または英数字の画像認証があるので、海外からの不正ログインを防ぐ手段にも使えます。10項目の設定がありますが、どれもシンプルで初心者にも使いやすいデザインになっています。

有料はレンタルサーバーを提供するような大きなサーバーを管理する企業向けのため、神社の予算では導入が難しい価格になっています。それを無料で提供できるのだから、Wordpressでホームページを運用する方にはオススメしますよ。

SiteGuard WP Pluginの設定

始める前に知っておく大事な話

インストールして、有効化すると自動的にログインページが変更されています。なので、ログインページをブックマークしている方は変更後のURLをブックマークを忘れないようにしてくださいね。

しかも、Wordpressに登録したメールアドレスにシンプルなメールが届きます。

このようなシンプルなメールがメールアラートなどで届きます

SiteGuardの機能一覧

  1. 管理ページアクセス制限
  2. ログインページ変更
  3. 画像認証
  4. ログイン詳細エラーメッセージの無効化
  5. ログインロック
  6. ログインアラート
  7. フェールワンス
  8. XMLRPC防御
  9. 更新通知
  10. WAF チューニングサポート

管理ページアクセス制限

web-adminホルダは管理画面に関わるファイルが入っています。ここにアクセス制限をかけます。

WebサーバのソフトウェアがApacheでない、または、mod_rewriteがインストールされていない場合は、この機能は動作しません。

でも、たいていの場合ホームページのリダイレクトやURLの書き換えを行うことができるので、ほぼこの機能を使うことができると思います。エックスサーバー、さくらインターネット、コアサーバー、ロリポップ!、ColofulBox、カゴヤ・ジャパンは使えます。

デフォルトで5つのファイルはログインをしていないIPアドレスでも接続が可能です。デフォルトのままで大丈夫です。

  • images
  • css
  • admin-ajax.php
  • load-styles.php
  • site-health.php

admin-ajax.php
Ajaxは通信方法の一つで、WordpressdでのAjax通信をサポートするファイルになります。

load-styles.php
これはログインページの見た目に関わるスタイルシートに関わるファイルです。

site-health.php
たぶんサイトヘルスというをWordpressの状態をチェックする機能の一種だと思います。

ログインページ変更

ログインページはSiteGuardを有効化すると自動で変更されます。有効化後、必ず確認してください。また自分で好みのURLにすることも可能ですよ。

通常ログインページは、神社サイトのURL/wp-login.phpになっています。自分好みのURLにする場合は、推測されやすい名前は避けましょう。

オプションのチェックは入れておいたほうがいいです。ホームページの更新や管理画面へのアクセスは自分のパソコンであればブックマークしておけばいいので、チェックを入れたほうがログインページにリダイレクト(リンクが飛ぶ)されないのでいいと思います。

もしログインページが分からなくなった場合、さくらインターネットでのコントロールパネルにあるインストール一覧の管理画面URLからログインすることができます。

WordPressのログインURLを忘れたときはインストール済み一覧の管理画面URLからログインできる

画像認証

画像認証は表示された文字を入力することによって認証する方法です。

画像認証はデフォルトではONになっております。また、ログイン、コメント、パスワード確認ページ、ユーザー登録ページに設置されます。ひらがな、英数字と選べます、清音のあいうえおだけです。

残念ながら、お問い合わせフォームにはつきません・・・

ログイン詳細エラーメッセージの無効化

ログインを失敗しすると掲示されるエラーメッセージを統一します。

エラーメッセージを統一しておかないと、ユーザー名の入力ミスかパスワードの入力ミスのどちらかを間違えたとき、間違っている方のエラーメッセージを出すことによって、正しい方が分かってしまいます。

そのため、エラーメッセージを統一します。

ログインロック

ログインの失敗が指定期間中に、指定回数間違えると指定時間ロックされる機能です。指定期間とはユーザー名とパスワードを入力して実行する時間です。

ログインロックは接続元IPアドレスをもとにロックを行っています。なので、企業や学校などプロキシサーバーを使うところは、同じ接続元IPアドレスになるので失敗すると、全員ロックされることになります。(これについてはFAQをみてください)

以前、パスワードの使用する文字数と解読時間について、パスワードの重要性についてお話ししました。4桁の英字26文字の場合、解読される時間は約3秒です。26文字の4桁なので、組み合わせは456,976通りあります。それを3秒で解読します。

ログインロックを使えば、解読時間を長くすることができます。単純に、3回間違えて1分ロックすることにしたら、3秒だったのが105日かかります。そうすることによって、総当たり攻撃や辞書攻撃を減らすことができます。

この設定はデフォルトのままで大丈夫です。でも、自分が入力ミスするのが多いようだったら、変えてみましょう。

ログインアラート

自分が管理するホームページの管理画面にログインがあった場合、登録しているメールアドレスにログインを知らせます。通常、管理者がログインできるので、なんとなくうっとおしい機能に感じますが、心当たりがないログインの時に役立ちますので必ず機能をONにしましょう。

設定はデフォルトで十分です。

フェールワンス

その名の通り、一度失敗する機能です。5秒以降60秒以内に再度正しく入力したらログインができます。一度失敗するといい理由はリスト攻撃に対応するためです。

リスト攻撃とは不正入手など予め手に入れたパスワードやユーザー名を使ってログインを試みる方法です。なので、1度失敗してログインすることによって攻撃者をだますことができます。

でも、フェールワンス機能が付いていても2回目に成功する可能性もありますので、IDやパスワードの扱いには十分に気をつけてくださいね。

ONのとき対象ユーザーの設定が効きます。でも、管理者が一人の場合、対象ユーザーのチェックを入れてもいれなくても反応は同じです。

XMLRPC防御

XMLRPCはスマートホンアプリや外部システムから投稿や画像のアップロードを行うときに使われるプロトコルです。

ピンバックとはトラックバックに似た機能でWordpressを利用している人同士が使える機能です。トラックバックは、誰かの記事を参考にして記事を書いたときに利用する機能です。相手の記事のリンクを自分の記事に貼った時、そのことを知らせ、また相手に自分のリンクを貼ります。

便利な機能ですが、これら機能を使って攻撃をしかけてきます。XMLRPCを利用しているプラグインがありますので、様子を見て無効化にするかそのままにするか決めてくださいね。ピンバック無効化またはXMLRPC無効化(全体のXMLRPC)のどちらかになります。

更新通知

WordPress、プラグイン、テーマの更新があった時メールで通知するかどうかを設定します。

頻繁に記事を更新する場合はあまり必要性があるとは思いません。それはサイトヘルスで知らせてくれるからです。でも、しばらく更新しない場合は通知をONにしましょう。

WAFチューニングサポート

これはレンタルサーバが(株)ジェイピー・セキュアのWAFを導入している場合に使える機能です。なので、SiteGuardの使い方のサイトをご参考くださいね。

ちなみに、さくらインターネットのレンタルサーバーは(株)ジェイピー・セキュアのWAFを導入しています。

その他の設定

詳細設定

IPアドレスの取得方法を選びます。通常はデフォルトのリモートアドレスのままで大丈夫です。

サーバが沢山必要な企業や学校であればプロキシサーバーやロードバランサーが必要で、設定が必要です。大体の神社さんには必要ありませんので、デフォルトのままで大丈夫です。

ログイン履歴

いつ、どこからログインをしたか分かります。ログインアラートで心当たりのないログインが行われたときや、ログインアラートを設定していない場合は必ず確認しましょう。

以上で、SiteGuardの使い方をご紹介しました。よく分からないところもあると思いますが、ログインできれば設定を変更できるので使いながらセキュリティレベルをあげていけばいいと思いますよ!

プラグイン導入後

プラグイン導入後の数値です。

   

プラグイン導入10日後の数値です。多少増えていますが攻撃が減りました。

パソコンのセキュリティ対策も同時にするといいですよ。

神社サイト運営
スポンサーリンク
いつもありがとうございます!
楽カミほむぺ★
タイトルとURLをコピーしました