WordPressの管理画面やログイン画面は、悪意ある第三者からの不正攻撃を受ける場合があります。
セキュリティ対策は必須といえますが、phpを自分で編集したり、英語版プラグインを入れて対処するのは初心者には大変です。
無料で日本語・機能も充実してるので「SiteGuard WP Plugin」というプラグインを数多くの日本のWordPressユーザーが使っているのではないかと思う。
「SiteGuard WP Plugin」はWordPressの管理画面とログインページを中心に不正ログイン攻撃からの防御をしてくれるセキュリティ対策無料プラグインです。
https://www.jp-secure.com/siteguard_wp_plugin/
SiteGuard WP Plugin WordPress プラグイン WordPress.org
https://ja.wordpress.org/plugins/siteguard/
デフォルトのログインURL( https://ドメイン/wp-login.php/ )から( https:// ドメイン/login_<任意文字列や数字>/ )への変更、アクセス制限、ひらがな画像認証が設定できる。他にもログイン履歴を見れるので心当たりがないログイン(不正ログインやログインしようとしてたログ)が分かります。
ロリポップサーバーはWordPressインストールすると「SiteGuard WP Plugin」が標準搭載です。
https://lolipop.jp/info/news/4535/
大手サーバーがデフォルトで付けるぐらいなので信頼度も高いのではないでしょうか。
SiteGuard WP Pluginの使い方
※ ロリポップなど標準搭載されてる場合はインストールのところは飛ばしてください。
プラグインインストール
ダッシュボード → プラグイン → 新規追加 → 検索欄に「SiteGuard WP Plugin」と入力 → 「今すぐインストール」をクリックしてインストールします
SiteGuard WP Pluginプラグインを有効化します
※ SiteGuard WP Pluginプラグインを有効化するとログインURLが変わるので注意して下さい。
デフォルトログインURL「https://WEBサイトのドメイン/wp-login.php」から「https:// WEBサイトのドメイン/login_<5桁の乱数>」に変わります。
WordPress管理画面上部「プラグイン有効化しました。」の上に「新しいログインURLをブックマークして下さい」の『新しいログインURL』をクリックすると新しいログインURLに移動します。
または、登録メールアドレスに「WordPress: ログインページURLが変更されました」という通知がきます。
どちらでもいいので新しいログインURLをブックマークしておいてください。今後はそのURLからログインします。
SiteGuard WP Pluginの各種設定
SiteGuard WP PluginにはデフォルトのログインURLから変える以外にも各種色々な設定ができます。
設定を変更した場合は『変更を保存』を押して設定を適応させてください。
設定方法は公式サイトにページがありますので、目を通しておくとよい思います。
使用方法 | SiteGuard WP Plugin | ソフトウェアWAFのJP-Secure
https://www.jp-secure.com/siteguard_wp_plugin/howto/
ログイン履歴
ログインした時のログが参照できます。
日時、結果(ログインの成功 / 失敗)、ログイン名、IPアドレス、タイプ(ログイン画面なのか、xmlrpc.php経由のログインなのかを判別)の項目で表示してくれます。
ここで見覚えのないログインアタックに気づくことができ、不正アクセスを行っている者がログインできてしまったのか?(不正アクセス者に入られてしまった場合は改ざん形跡確認など対応してください)ログイン記録が分かります。
管理ページアクセス制限
ログインしているIPアドレス以外は管理画面へアクセス出来なくさせます。
ログインするIPアドレスが固定、ログイン回線が決まっている人はONにするといいと思います。IPアドレスが変わる頻度が高い、複数端末や複数接続先からログインする人は管理者自身が404エラーに成り易いようなので、そういう人はOFFの方がいいかもしれません。
私は過去にこの機能が起因したエラーが起きてWordPressのphp更新できない事がありました
ONにしてエラーが起きないように使いたいのなら除外パスを活用するといいと思う。
ログインページ変更
ログインURL(https://WEBサイトのドメイン/login_<***>)の<***>部分を任意の英数字文字列に変更できます。
WordPressはデフォルトだとログインURLは「https://WEBサイトのドメイン/wp-login.php」で、
SiteGuard WP Pluginプラグイン有効化で変わったログインURLは「https:// WEBサイトのドメイン/login_<5桁の乱数>」です。この乱数の所を任意文字列に変更できます。
5桁の乱数より任意文字列の方が推察はされにくく、セキュリティ対策としても有効なのでONにすることをオススメします。
※ この機能を使うとログインURLが変わるので注意して下さい。
WordPress管理画面上部、または、登録メールアドレスに新しいログインURL通知がきます。
どちらでもいいので新しいログインURLをブックマークしておいてください今後はそのURLからログインします。
画像認証
ログインやコメント投稿する際に画像表示された文字列を入力すること求める画像認証を設定できます。
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに実装できる機能です。ひらがなと英数字が選べます。
ログインするのは自分だけ、コメントやユーザー登録は日本語分かる人向けWEBサイトであるなら、特にひらがなに設定しておくのがいいです。海外からの攻撃ならば英数字より日本語の画像認証は有効でしょう。
ログイン詳細エラーメッセージの無効化
WordPressはログインに失敗した時に間違えた箇所の詳細が表示されます。それを単一表示にして間違い箇所を分からないようにします。
ログインロック
ログインの失敗が続いた場合に接続元IPアドレスを一定期間ロックします。期間、回数、ロック時間の設定ができます。
期間 → 失敗して次の入力をできるまでの期間(デフォルト:5秒)
回数 → ログインの失敗回数設定(デフォルト:3回)
ロック時間 → 失敗回数に達した場合に次の入力が出来るようになるまでの時間(デフォルト:1分)
デフォルトだとログインに失敗してら2回目は5秒経過しないとできなくて、ログイン失敗は3回まで。3回失敗すると1分間はロックがかかりログインする作業自体出来ない。
こういう設定をする機能になります。
ログインアラート
ログインがあった事が指定メールアドレスに自動送信で通知されます。ログインしてきた接続元のIPアドレスも記載されてます。
万が一心当たりがない接続元からログインされたとしても気付くことができるのでONにした方がいいでしょう。
フェールワンス
正しい合っているログイン情報を入力したとしても1回わざとログイン失敗エラーにする機能です。
5秒以降60秒以内に再度正しいログイン情報を入力するとログインができる仕様になっている。
合っている入力情報で不正ログインされても間違いだとする画面を1回出す仕組みでもあります。
XMLRPC無効化 / ピンバック無効化
ピンバックの悪用、XMLRPCの悪用を防ぐ機能です。
ピンバック → 相互リンクする時の機能で参考にしたWEBサイト管理者に「リンク貼りました」と自動的に通知し、こちらのサイトの存在を知ってもらい、相手もピンバック送信してきたら相手のURLを自分の投稿ページ内に自動表示するという仕組み。
WordPressの便利親切機能なのですが悪用されるとDDoS攻撃の踏み台に使われたりセキュリティ上よくないとする意見もあります。
XMLRPC → 外部システムからの投稿や画像アップロード等に使用できるインターネット上で遠隔手続き呼び出しを行うためのプロトコルの一種。
WordPressは外部からワードプレスをコントロールするプログラムが備わっており、こちらも親切機能なのですが不正者によりその機能を悪用され踏み台にされたり、スパムコメント連続投稿などセキュリティ脆弱性があがってしまう機能でもあります。
上記は使わないならば無効化しておいていいと思います。
更新通知
WordPress、WordPressプラグイン、WordPressテーマの更新があるとメールで通知する機能
更新情報に早く気づけるのでONにしておくと良いと思います。更新知らせを受けとる種類の詳細も設定できます。
WAFチューニングサポート
誤検知エラーを防止するための設定です。外部攻撃を未然に防ぐWAF(ワフ)が正常アクセスなのに誤検知して403エラーになってしまうのを防ぐために除外するルールを設定します。
不具合がないのなら使う必要はないですが、正常アクセスなのに403エラーが頻発する場合は利用した方がいいかもしれません。
詳細設定
クライアントIPアドレスの取得方法を設定できます。通常はリモートアドレスを選択でよく、特に変更する必要はないと思います。
