blog ブログ
目次
はじめに
WordPressでサイトの運営するにあたってセキュリティ対策が心配だと思いますが、そんなときに便利なのがセキュリティ対策のプラグインです。
今回はインストール数が40万件を超え信頼と実績、ともに評価の高い日本のセキュリティ専門企業「EGセキュアソリューションズ」が開発している、SiteGuard WP Pluginについてご紹介します。
セキュリティ対策をする意味
WordPressは、世界中で利用されているオープンソースのCMS(コンテンツ管理システム)です。その利便性から多くの個人や企業が利用していますが、その一方で、セキュリティの脆弱性が攻撃者に狙われやすいというリスクも存在します。
まず、WordPressの脆弱性が悪用されると、サイトが改ざんされる、データが盗まれる、または不正なスクリプトが仕込まれる可能性があります。これにより、サイトの信頼性が低下し、訪問者が減少するだけでなく、検索エンジンでの評価にも悪影響を及ぼします。また、被害が広範囲に及ぶと、自社だけでなく他のサイトやユーザーにも迷惑をかけてしまう恐れがあります。
特に、個人情報を取り扱うサイトでは一層の注意が必要です。例えば、ユーザーが会員登録を行ったり、問い合わせフォームを通じて名前やメールアドレスを提供したりする場合、これらの情報が漏洩すると深刻な問題になります。個人情報の漏洩は法律違反に繋がるだけでなく、被害を受けたユーザーからの信頼を失い、最悪の場合、訴訟問題に発展する可能性もあるのでセキュリティ対策は必須といえるでしょう。
関連個人情報とは?定義や具体例、取扱い方法についても徹底解説!
認証パートナー
SiteGuard WP Pluginとは?
不正アクセスからWordPressを守るためのプラグインです。
主に次のような攻撃に対してセキュリティを向上させることができるようです。
・不正ログイン
・管理ページ(/wp-admin/)への不正アクセス
・コメントスパム
インストールし、有効化するだけで、
管理ページとログインページの保護を中心にセキュリティを向上させることができます。
SiteGuard WP Pluginの使い方と設定方法
SiteGuard WP Pluginをインストールし、有効化すると設定の横に専用のメニューが登場します
初期設定のままでもすぐにセキュリティが強化されますが、どのような機能があるのか機能一覧を確認しておいた方が良いでしょう。
今回、以下の3項目について公式サイトを参考に解説をしていきます。
・管理ページアクセス制限
・ログインページ変更
・更新通知
紹介しきれなかった設定項目以外についての使い方の詳細は、公式サイトの方を確認してみてください。
管理ページアクセス制限
管理ページへの不正アクセスを防ぐ機能です。
/wp-admin/以下に配置しているファイルに 24時間以内にログインしていない接続元IPアドレス(非ログイン者)が原則アクセスできなくするように遮断してファイルを守ります。
WordPressへの攻撃は、システムの脆弱性から管理ページを狙うため、きちんとログインしていない非ログイン者を弾くだけでも一定の効果があるといえます。
24時間以上、ログインしていない接続元IPアドレスは、順次削除されます。
きちんとログインし直すと接続元IPアドレスが記録され、管理ページのアクセスを許可されるようになります。
ログインページ変更
WordPressは、https://ドメイン名/wp-login.php のログインURLから誰でもアクセスできてしまうため、ブルートフォース攻撃(パスワード総当たり攻撃)やパスワードリスト攻撃が可能な状態となっています。
ログインページ変更機能では、WordPressログインページ名を変更することができ、攻撃者からログインURLを隠しサイバー攻撃からのセキュリティを高めます。
初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
また、オプションの「ログインページへのリダイレクトしない」についてはチェックONにした方が良さそうです。初期仕様では/wp-admin/以下にブラウザでアクセスすると、自動的にログイン画面にリダイレクトされる仕様になっています(ログインしていない場合)。このリダイレクトがあるままだと、名前を隠したログインURLが自動転送によって簡単にバレてしまうためです。
更新通知
WordPress本体やプラグインの更新、テーマの更新があったときにメールで通知する機能です。
デフォルトではONになっていますが、更新通知メールが大量に届いてしまうため場合によってはOFFにした方が良いかもしれません。
機能一覧
| メニュー名 | 初期状態 | 説明 |
|---|---|---|
| 管理ページアクセス制限 | OFF | ログインしていない接続元から管理ディレクトリ(/wp-admin/) を守ります。 |
| ログインページ変更 | ON | ログインページ名を変更します。 |
| 画像認証 | ON | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 | ON | ログインエラー時の詳細なエラーメッセージに変えて、 単一のメッセージを返します。 |
| ログインロック | ON | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート | ON | ログインがあったことを、メールで通知します。 |
| フェールワンス | OFF | 正しい入力を行っても、ログインを一回失敗します。 |
| XMLRPC防御 | ON | XMLRPCの悪用を防ぎます。 |
| ユーザー名漏えい防御 | OFF | ユーザー名の漏えいを防ぎます。 |
| 更新通知 | ON | WordPress、プラグイン、テーマの更新が必要になった場合に、 メールで通知します。 |
| WAFチューニングサポート | OFF | WAF (SiteGuard Lite)の除外ルールを作成します。 |
| 詳細設定 | – | IPアドレスの取得方法を設定します。 |
| ログイン履歴 | – | ログインの履歴が参照できます。 |
SiteGuard WP Pluginでログインできない原因と対処法
SiteGuard WP Plugin導入したあと、よくWordPressの管理画面にログインできなくなってしまうことがあります。原因と対処法について解説します。
メールを確認する
SiteGuard WP Pluginを有効化すると、ログインページのURLが変わります。 ログインURLが変更になったとき、SiteGuard WP Pluginは管理者宛にメールを送信します。
変更されたログインURLが記載されたメールが届いていますので、そのメールを確認しましょう。
.htaccessを確認する
.htaccessとは、Webサーバーの基本動作をディレクトリ単位で制御するファイルです。
SiteGuard WP Pluginは、.htaccessを使ってログインURLを変更していますので.htaccessを開けば変更されたログインURLがわかります。
まず、FTPソフトでサーバーにアクセスし、ドメイン直下にある.htaccessファイルをダウンロードし、テキストエディタで開きます。
上記のコードでは、「https://ドメイン名/login_34099」がログインURLとなっています。
フェールワンスが有効化になっている
フェールワンス機能はパスワードリスト攻撃を防御するため、ユーザー名とパスワードがあっていても最初のログインで必ずエラーを返す機能です。
パスワードリスト攻撃とは、漏洩したユーザー名とパスワードをもとに、不正アクセスをしかけてくる攻撃のため、ログインに成功しても一度エラーを返すことで防御するという仕組みになっています。
フェールワンス機能を有効化していれば、最初のログインは必ず失敗しますので、時間を置かずにもう一度入力を行ってください。
プラグインを無効化する
SiteGuard WP Pluginを無効化すると、ログインURLはもとの「https://ドメイン名/wp-login.php」に戻ります。
再度、SiteGuard WP Pluginを有効化すると、前回とは異なるログインURLになりますので注意してください。
終わりに
いかがでしょうか、今回は「SiteGuard WP Plugin」を紹介しました。
WordPressは世界のサイトの4割以上、CMSでは6割以上が採用されており、圧倒的に普及しているサービスのため狙われやすいと言われます。またオープンソース(プログラムを公開しているソフト)なのでセキュリティの脆弱性が発見されやすいことが挙げられています。このため、セキュリティ対策プラグインは必須といってもいいほど導入した方がいいと思われます。
SiteGuard WP Pluginの他にも、「All In One WP Security」や「Malcure WP Malware Scanner & Firewall」といった人気のセキュリティ対策プラグインもありますので、次回以降また取り上げていきたいと思っています。
インターネットの普及に伴って増え続けるサイバー攻撃から情報資産を守り、安全なサイト運営にぜひご活用ください。
また当社ではWebサイト制作の他にも、DTP制作・SEO対策・Webマーケティングを通じて、お客様のビジネスを成功に導くお手伝いをさせていただいておりますのでお気軽にご相談ください!
