前回の記事
-
【初心者】ワードプレスプラグイン『Advanced Editor Tools』の使い方を優しく解説【スクショ・動画】
皆さんはブログで記事を書く際に記事(文字)装飾を使っているで ...
続きを見る
前回の記事では記事作成ツールバーのカスタマイズと記事装飾のバリエーションを増やすプラグインのAdvanced Editor Toolsの使い方を解説しました。
今回の記事では大切なワードプレスブログを不正アクセスなど外部からの攻撃から守るために必須と言ってもいいプラグイン『SiteGuard WP Plugin』の設定・使い方を画像(スクショ)と字幕解説動画を使って初心者さん向けに詳しく解説してみたいと思います。
解説ポイント
- プラグインのインストールと有効化
- おすすめ設定
しっかりと対策しておこう。
SiteGuard WP Pluginの設定方法
SiteGuard WP Pluginはサイトを不正アクセスから守るために必須と言ってもいいプラグインです。
当サイトではないのですが、私も不正アクセスを受けて他で運営しているいくつかのブログの復旧をあきらめてしまった経験があります。
ある程度収益化がができていたサイトもあり、かなりの痛手となってしまいました…。
みなさんはそう言ったことのないようにぜひしっかりと対策をしてください。
動画解説
インストール&有効化
まずはSiteGuard WP Pluginをインストール&有効化していきます。
ワードプレス管理画面サイドバーより『プラグイン』⇒『新規追加』と進みましょう。
検索バーに『SiteGuard WP Plugin』と入力(SiteGuardだけでもOK)し、検索結果一覧の一番左上のプラグインをインストール&有効化します。
有効化後は、上の画像のように『ログインページが変更されました』という表示が出るので、『新しいログインページURL』をクリックしログインしなおしましょう。
後の設定でこのログインページURLは変更しますが、設定変更を即座に行わない場合はこのデフォルトの変更ページもメモまたはブックマークしておきましょう。エックスサーバーのサーバーパネルの管理画面URLからはログインできなくなります。
おすすめ設定
ここではSiteGuard WP Pluginの設定方法について解説します。
プラグインを有効化してワードプレス管理画面サイドバーからSiteGuard WP Pluginのダッシュボードにアクセスすると初期状態では上の画像のような設定になっていると思います。
この項目のうち
- ログインページ変更
- ユーザー名漏洩防御
- 管理ページアクセス制限
の項目を設定していきます。
ログインページ変更(必須級)
SiteGuard WP Pluginを有効化するとワードプレス管理画面サイドバーに『SiteGuard』が追加されるので『ログインページ変更』に進みましょう。
続いて、『変更後のログインページ名』の末尾を好みの文字列に変更し、『変更を保存』をクリックします。
するとサイトの管理者メールアドレスにメールが届くので変更後のログインページURLをクリックしましょう。
管理者メールアドレスはサイドバーの『設定』⇒『一般』より確認できます。
今後はこのログインURLからしかワードプレスにログインできなくなるので必ずブックマークしておきましょう。
ユーザー名漏洩防御(必須級)
なぜ設定が必要?
通常私たちがワードプレスの管理画面にアクセスする際のログインIDはhttps://○△.com/?author=(数字)(○△.comに知りたいサイトのドメインを入れる)をインターネット検索バーに入力することによって誰でも知ることが可能です。
ログインIDが知られてしまうと、後はパスワードの総当たり攻撃によってワードプレス管理画面への不正アクセスを許してしてしまう可能性があります。
そこで、これを防ぐためにSiteGuard WP Pluginのダッシュボードの設定項目『ユーザー名漏洩防御』を設定してやる必要があります。
ワードプレス管理画面サイドバーより『SiteGuard』⇒『ユーザー名漏洩防御』とすすみましょう。
続いて表示される画面左上のON・OFFタブの『ON』をクリックし、画面を下にスクロールして『変更を保存』をクリックすればユーザー名漏洩防御設定は完了です。
管理ページアクセス制限(推奨級)
ワードプレス管理画面サイドバーより『SiteGuard』⇒『管理ページアクセス制限』と進みましょう。
続いて表示される画面左上のON・OFFタブの『ON』をクリックし、画面左下の『変更を保存』をクリックすれば管理ページアクセス制限設定は完了です。
その他の設定
これまでSiteGuard WP Pluginのおすすめ設定として必須級2つ、推奨級1つの設定方法を解説してきましたが、その他の項目についても一応設定方法を解説してみたいと思います。
なお、設定方法の動画解説は割愛させていただきます。
画像認証の設定
画像認証設定では上の画像にあるようログインなどの際に表示された画像にある文字などを追加で入力することを求めるか設定できます。
初期状態では、かな文字を入力する形で設定がONになっています。
文字の追加入力は大した手間ではないのでそのままONの設定でいいと思います。
画像認証ではかな文字のほか英数字もあります。お好みで設定してください。
ログイン認証エラーメッセージの無効化
ログインエラー詳細メッセージの無効化機能は、ログイン失敗時に詳細な内容のエラーメッセージを送る機能をOFFにして曖昧にする機能です。
未設定状態では、上の画像のようにログインページで誤入力をした場合、何が間違っているのかという詳細なエラーメッセージが表示されてしまいます。
これは不正ログインのヒントを与えかねません。
ただ、SiteGuard WP Pluginでは有効化した時点でこの機能はONになっているので設定の必要はありません。
ログインロック
ログインロック機能は、短時間に複数回のログインを繰り返すIPのログインをロックする機能です。
パスワード総当たり攻撃などによる不正ログインを防ぐための機能となっています。
初期設定では上の画像にあるように期間が5秒、回数が3回、ロック時間が1分で設定されています。
やってみればわかること(やらなくても分かるかも…)ですが5秒で3回のログイン試行は人間にはほぼ不可能であり、PCを利用したブルートフォース攻撃を対象にしています。
基本的に初期設定でOKですが、期間を30秒に設定すると人間でも試行可能になるので、人間の不正ログインも合わせて対策したい場合は30秒にしてもいいと思います。
30秒に設定すると自分もロックされかねないので慎重にログインしましょう。
ログインアラート
ログインアラート機能はサイトにログインがあった場合に管理者メールアドレスに通知が来る機能です。
上のようなメールが送信されてきます。
身に覚えのないログイン(主に不正ログイン)があった場合に即座に対応できるので初期設定(ON)のままでOKだと思います。
フェールワンス
フェールワンス(Fail once)とはその名通り正しいログインであったとしても一回(once)は失敗する(Fail)機能です。
これによって不正ログインを試みる者に、正しいログイン情報が間違っていると誤認させることができます。
初期設定ではOFFになっており、当サイトでもわずらわしいのでOFFにしています。
わずらわしさが気にならないという方はONにしてもいいと思います。
XMLRPC防御
XMLRPC防御機能はXML-RPCピンバックを利用したDDoS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御する機能です。
PCやシステム関係に弱いという方は読み飛ばしていただいて構いません(というか私も詳しいわけではありません)。
みなさんもブログで記事を書いていると記事の参考に他のサイトの記事URLなどを貼ることと思います。
こうやってURLリンクを貼るとその参考にしたサイトに自動的に通知が行くシステムがありこれがピンバックという機能です。
【参考】ピンバックとは?正しい意味とWordPressに設定する方法
あるサイトを機能不全に陥れようとした悪意の第三者がそのサイトのリンクを取得して、無関係の大量のサイトにリンクを貼り付けピンバックによる通知でサイトを機能不全に陥れるというDDos攻撃にこのピンバックが利用されるという事案があるそうで、これを防ぐというのがXMLRPC防御の機能です。
【参考】DDoS攻撃 【Distributed Denial of Service attack】 分散DoS攻撃
また、XMLRPCというのはワードプレスを管理画面にログインせずにリモートで操作するための仕組みのことで、これを利用して外部のPCからブルートフォース攻撃を行い不正ログインを試みる悪意の第三者からサイトを守る機能もあるようです。
初期設定では上の画像にあるようにピンバックの無効の設定のみONになっています。
ネットで色々と調べてみたのですが基本的にこの設定でOKのようです。
XMLRPC無効化を設定するとこの機能を利用したプラグインなどが利用できなくなる可能性があるので、もう何のことやら一体全体、という方は初期設定のままにしておきましょう。
更新通知
更新通知機能は、ワードプレスのシステム本体やプラグイン、テーマなどの更新が必要になった際に管理者メールアドレスに通知が来る機能です。
不正アクセスなどはテーマやプラグインの脆弱性またはワードプレス本体の脆弱性を突いて行われるのでこれらを最新の状態に保っておくことはサイトを守る上でとても重要なポイントです。
初期設定ではONになっているので変更せずこのままにしておきましょう。
WAFチューニングサポート
WAF(Web Application FireWall)とはWeb アプリケーションの通信をフィルター、監視、ブロックするためのソフトウェアまたは、ハードウェアのセキュリティ対策
WAFとは?(aws.amazon.com)より引用
WAFで本来は正常なアクセスであるにもかかわらず誤検知によってアクセスをはじくという不具合があるようで、それを防ぐための除外設定をするのがWAFチューニングサポートの機能のようです。
ただ、サーバーにSiteGuard Liteがインストールされている場合のみ使用できる機能なので初期設定のOFFのままでOKだと思います。
-
【初心者】Contact Form 7のスパムメール対策に『reCAPTCHA』を設定する方法を徹底解説【画像・動画】
というわけで今回はスパムメール(迷惑メール)の対策についての ...
続きを見る
