こんにちは、asです
WordPressサイトのセキュリティ対策は何をしていますか?
是非いれておきたい無料プラグイン、『SiteGuard WP Plugin』を紹介します!
まだ入れていない方は、是非導入してみてください(^^)
コンテンツ
SiteGuard WP Pluginとは
インストールするだけでセキュリティを向上してくれるWordPressの無料プラグインです。
サイトを以下の攻撃から守ってくれます。
- 不正ログイン防止(ログイン時のURLの変更・画像認証など)
- 管理者ページ(/wp-admin/)への不正アクセス予防
- コメントスパム防止
開発元は株式会社ジェイピー・セキュアという、日本のウェブサイトセキュリティの専門企業です。
同社のWebアプリケーションファイアウォールは国内利用サイト数No.1を誇っているそうで、レンタルサーバー会社で導入してるところも多い様です♪
参考リンク: 『SiteGuard WP Plugin』公式ページ
インストールの方法
管理メニューの「プラグイン」>「新規追加」から、検索窓に「SiteGuard WP Plugin」と入力します。
「今すぐインストール」をクリックし、インストールが完了したら「有効化」をクリック!
有効化されると、左側のメニューに「SiteGurad」という項目ができます。
これで終わりです♪
特に、自動的にログインページのURLが変更されますので、
有効化したら次のステップまで一度に設定しましょう!
公式ページからzipファイルで入手することも可能です(^^)
超重要!最初に必ずしたい設定
ログインページのURLの確認&変更
先にも書きましたが、『SiteGuard WP Plugin』は有効化しただけでいくつかのセキュリティ機能が有効になります。
下記が有効化しただけの設定画面ですが、すでに色々ONになっていますね。
その中で注意が必要なのが、ログインページのURLです。
勝手に書き変えられていますので、新しいURLを確認しておきましょう!
どういうことかと言いますと…
今までWordPressをデフォルトでお使いでしたら、下記の様なログインURLだったかと思います。
導入前: https://ドメイン/wp-login.php/
↓↓↓これが勝手に下記のようになってるはずです。
導入後: https://ドメイン/login_*****/
「*****」には5桁の数字がランダムであてがわれます。
「ログインページ変更」から、新しいログインページURLを確認しておきましょう。
また、好きなurlにも変更できます!
次回からログインページは上記になるので、メモしておきましょう。
ブックマークの変更も忘れずに!
管理者ページからリダイレクトさせない
先の項でログインページのURLを変更し、不正ログイン防止対策をしましたが、まだ十分ではありません。
WordPressでは、ログインしていない状態でhttps://ドメイン/wp-admin/にアクセスすると、ログインページにリダイレクトされてしまいます。
これではせっかく変更した意味がない!
ですので、「ログインページ変更」オプションの「管理者ページからログインページへリダイレクトしない」にもチェックを入れることをお勧めします。
これで、ログインしていない状態で/wp-admin/にアクセスした場合には404 Not Foundとなります(^^)
その他の機能
画像承認
ログインやコメント画面などで画像承認を求める機能です。
デフォルトでONになっています。設定からひらがなか英数字か選べます。
次回ログインするときは、かな入力の画像認証が追加されていますよ。
ログインアラート
ログインがあったときに、メールで通知が送られてくる機能です。
不正なログインがあった時に気づきやすくなったり、複数で管理してる際など他の人がログインしたのがわかったりするメリットがあります。
設定でタイトルやメール本文を変更できます(^^)
また、サイト名、ユーザー名、日時、IPアドレスなども本文に追加できます。
機能一覧
紹介したものも含めて『SiteGuard WP Plugin』には下記の機能があります。
ここでは割愛しますが、公式ページから詳細を確認できます♪
- 管理ページアクセス制限…ログインしていない接続元から管理者ページ(/wp-admin/)へアクセスできないようにします。
- ログインページ変更…ログインページのURLを変更します。
- 画像認証…ログインページ、コメント投稿に画像認証を追加します。
- ログイン詳細エラーメッセージの無効化…ログインエラー時のエラーメッセージから詳細を省いて単一のメッセージにします。
- ログインロック…ログイン失敗を繰り返す接続元を一定期間ロックします。
- ログインアラート…ログインがあったことを、メールで通知します。
- フェールワンス…正しい入力を行っても、ログインを一回失敗します。
- XMLRPC防御…XMLRPCの悪用を防ぎます。…XMLRPCの悪用を防ぎます。
- 更新通知…WordPress、プラグイン、テーマの更新があればメールで通知します
- WAFチューニングサポート…WAF (SiteGuard Lite)の除外リストを作成します。
トラブルシューティング:ログインできなくなった。
最後に、ログインできなくなった場合の対応策を紹介しておきます(^^)
昔のアドレスからログインしようとしている
ブックマークや履歴から、『SiteGuard WP Plugin』導入前のURLにアクセスしていませんか?
「ログインページ変更」で「管理者ページからログインページへリダイレクトしない」にチェックを入れた場合、それまでできていた「http://ホスト名/wp-admin/」からのアクセスはできなくなります。
「ログインページ変更」で設定したログインページからログインしましょう。
いやそのアドレスを忘れたよって場合は次へ。
ログインページのアドレスを忘れてしまった
「ログインページ変更」で変更した新しいログインURLを忘れてしまった場合、下記の方法で確認できます。1管理者にログインページのURLのお知らせメールが届いているので、受信箱を探してみる。件名は下記の通り。
件名:「WordPress: ログインページURLが変更されました」
2WordPressのディレクトリにある .htaccessファイルを確認する。
RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]
このlogin_xxxxxが新しいログインページURLです。
3それでもダメな場合、腹を括って、、、
FTPからWordPressディレクトリの中にある/wp-content/plugins/にアクセスし、siteguardディレクトリを削除し、1からやり直しましょう。。。。
おわりに
WordPressのセキュリティ対策は色々ありますし、こだわりだしたらキリがないのですが(^_^;)、
今回紹介した『SiteGuard WP Plugin』は、設定も簡単でオススメなプラグインなので是非導入してみてください♪