COLUMN コラム
2022.12.26
【WordPress】セキュリティプラグイン SiteGuard WP Pluginの使い方
WordPressサイトを構築する際、セキュリティ対策はちゃんと考えていますか?
初心者でも簡単にWebサイトを作ることができることから世界的に多く利用されているWordPressですが、多く利用されているということは悪意を持った第三者のターゲットになりやすいということでもあります。
主なセキュリティ対策としてWordPress本体及び、プラグインを最新のバージョンに保つなどいくつかありますが、今回はセキュリティプラグイン「SiteGuard WP Plugin」を紹介したいと思います。
1. SiteGuard WP Pluginとは
SiteGuard WP PluginとはWordPressにインストールするだけでサイトのセキュリティを向上させることができるプラグインです。
機能ごとに詳細な設定をすることができるので、自分に必要な機能だけ有効化することも可能です。
2. 機能紹介
SiteGuard WP Pluginには以下の機能があります。
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
|---|---|
| ログインページ変更 | ログインページ名を変更します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート | ログインがあったことを、メールで通知します。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
| XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
| ユーザー名漏えい防御 | ユーザー名の漏えいを防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
| ログイン履歴 | ログインの履歴が参照できます。 |
管理ページアクセス制限
管理ページに対する攻撃をブロックします。
ログインしていない接続元に、管理ページ(/wp-admin/以降)へのアクセスを 404 Not Found で返します。この機能を除外するパスを個別で設定することも可能です。
管理ページアクセス制限 – WebセキュリティのEGセキュアソリューションズ
ログインページ変更
ログインページ(/wp-login.php)のURLを変更します。
ログインユーザー名とパスワードの組み合わせを探る攻撃は、その大半が機械的に行われており、それはデフォルトのログインページに対して行われます。ログインページを変更することで、これらの攻撃の対象になる機会を減らすことができます。
ログインページ変更 – WebセキュリティのEGセキュアソリューションズ
画像認証
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに、「ひらがな」または「英数字」4桁による画像認証を追加します。
ユーザー名、パスワードを機械的、あるいは人的に探る攻撃を困難にします。
画像認証 – WebセキュリティのEGセキュアソリューションズ
ログイン詳細エラーメッセージの無効化
この機能は、ログイン失敗時に何が間違っているのかを知らせないように、すべて同じエラーメッセージにするものです。
デフォルトではログインに失敗すると、間違っているのはユーザー名なのか、パスワードなのか、あるいは、画像認証なのかをエラーメッセージで知ることができます。何気ないエラーメッセージですが、これは攻撃者への大きなヒントとなってしまうため、エラー文を全て同一にすることで不正アクセスを防止します。
ログイン詳細エラーメッセージの無効化 – WebセキュリティのEGセキュアソリューションズ
ログインロック
機械的なログイン試行をブロックする機能です。
同一接続元からの連続したログイン失敗を検出して、当該接続元からのログインをロックします。多くの接続元を使用する攻撃や、ゆっくりとした攻撃には効果がない場合があります。
ログインロック – WebセキュリティのEGセキュアソリューションズ
ログインアラート
ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正ログインを疑ってください。
ログインアラート – WebセキュリティのEGセキュアソリューションズ
フェールワンス
この機能は、ログインが成功する場合でも、一度失敗させて次の組み合わせの試行に進ませることで、攻撃をかわすことを目的としています。
フェールワンス – WebセキュリティのEGセキュアソリューションズ
XMLRPC防御
XML-RPCピンバックを利用したDDoS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御します。
XMLRPC防御 – WebセキュリティのEGセキュアソリューションズ
ユーザー名漏えい防御
“?author=数字”のアクセスによるユーザー名の漏えいを防止します。
ユーザー名とパスワードの組み合わせでログインしますが、ユーザー名が分かると後はパスワードだけですので、攻撃者はパスワードの推測に専念できます。ユーザー名は伏せておいた方が安全です。
ユーザー名漏えい防御 – WebセキュリティのEGセキュアソリューションズ
更新通知
WordPress、プラグイン、テーマについて、更新情報がある場合に、メールでお知らせします。
メールは管理者になっているユーザー宛に送信されます。
更新通知 – WebセキュリティのEGセキュアソリューションズ
WAFチューニングサポート
WebサーバーにJP-Secure製WAF SiteGuard Server Editionが導入されていて、正常なアクセスがWAFによって遮断されてしまう場合に、それを回避するルールを作成することができます。
WAFチューニングサポート – WebセキュリティのEGセキュアソリューションズ
ログイン履歴
どのユーザーがいつログインしたのかが履歴となって残ります。
3. 導入方法
導入方法は至ってシンプルです。
①WordPress管理画面「プラグイン」より「新規追加」をクリック
②キーワードに「SiteGuard WP Plugin」と入力
③プラグインが表示されたら「今すぐインストール」→「有効化」
インストールした段階で基本的な設定はされているので、あとは自分にとって必要、不要だと思う項目をON/OFFすれば完了です。
おわりに
今回は手軽にWordPressサイトのセキュリティ強化ができるプラグイン「SiteGuard WP Plugin」を紹介しました。
細かな設定が分からないWordPress初心者でも、インストールするだけで最低限のセキュリティ強化が可能なとても優秀なプラグインです。
WordPressインストール時に最初にインストールするプラグインとして覚えておいても良いのではないのでしょうか?
セキュリティ問題を起こしてしまってからでは取り返しがつかないので、そうなる前に可能な限り対策しておきましょう。