目次
目次
SiteGuard WP Pluginとは
近年、WordPressを使っているユーザーの数は右肩上がりに増加しています。 初心者でも手軽にWordPressを使ってサイトを構築できる環境が整ってきたこともあり、ひと昔前 よりだいぶ敷居が低くなってきていると感じます。
しかし、それに伴い、WordPressを狙う悪質な攻撃も増えてきているのも事実です。 自分は初心者ではないから、なんて思っていると痛い目に会います。
そこで今回は、最もメジャーな攻撃方法である総当たり攻撃をはじめ、様々な外部からの攻撃に対 し絶大な効力を発揮するプラグイン「SiteGuard WP Plugin」をご紹介します。
SiteGuard WP Pluginの特徴
まずは「SiteGuard WP Plugin」の特徴からみていきましょう。
こちらに箇条書きでまとめました。
SiteGuard WP Pluginの特徴
■「ログインを何度も失敗するユーザーに対してロックを掛ける」など主にログイン画面の機 能強化のための複数の対策ができる
■ひらがなの画像認証機能が備わっているため、ロボットと日本以外からの攻撃者に対して非 常に有効
■プラグインの提供元が法人であるため品質の担保ができる、また今後も定期的にアップデー
トされる可能性が高い
■WAF (Web Application Firewall) を提供しているネットセキュリティ大手であるJP-Secure が提供している。
■WordPressで特に狙われやすいXML-RPCを狙った攻撃の無効化機能も持っている日本製の ため設定項目やマニュアルが日本語
XML-RPCとは
XML形式のデータをHTTPでやり取りするための、RPCプロトコルの一種であり、エンコード (符号化)にXMLを採用し、転送機構にHTTPを採用している。 非常に単純なプロトコルであ り、少数のデータ型やコマンドだけが定義されている。
一つのプラグインで様々な攻撃に対応できるのも、このプラグインの優れた点ですね。
WordPressへの不正ログインを防ぐためには必須のプラグインと言えます。
SiteGuard WP Pluginのインストール
まずは「SiteGuard WP Plugin」をインストールしましょう。
WordPressの管理画面の「プラグイン」ページから「新規追加」をクリックします。
画面右上の検索ボックスに「SiteGuard WP Plugin」と入力して検索します。
検索結果に表示されますので「今すぐインストール」をクリック。
インストール完了したら「有効化」をクリックします。
そうすると、下の画面のように、
「ログインページURLが変更されました。」
「新しいログインページURLをブックマークしてください。設定変更はこちら」
と表示されます。
ブックマークはこのタイミングで行わなくても大丈夫ですので、まずはWordPress管理画面の左メ ニューから「SiteGuard」をクリックしてプラグインのダッシュボード画面に移動します。
SiteGuard WP Pluginの設定方法
こちらが「SiteGuard WP Plugin」のダッシュボードです。緑のチェックマークが付いてる箇所が現在「ON(有効)」になっているセキュリティ対策となります。
各項目を見て行く前に確認しておきたいのが、画面左下にある「ログイン履歴」です。 早速、クリックして見ましょう。
「ログイン履歴」の画面に移動します。この画面では成功/失敗を問わず、ログインしようとした ユーザーを記録してくれています。
早速画面を確認すると、2行目を見ると怪しい履歴が!
画面を見ると「Wizard-grade-hacker」というユーザーがログインに失敗したことがわかります。
こんな感じで、不正に管理画面へログインを試みたユーザの履歴を残すことができます。 今回の、このユーザーは自作自演なのですが、サイトのアクセス数が増えてくると普通に起こり得 ることなんです。
不正ログイン、不正アクセスと聞くと、どうしても他人事のように聞こえてしまいますが、何も対 策をしていないとパスワードなんてすぐに抜かれてしまいます。
そんなリスク減らすための、セキュリティ対策です。 それでは項目ごとに、ひとつずつ見ていきましょう。
管理ページアクセス制限
設定は「ON」にします。
ログインが行われていない接続元IPアドレス(ユーザー)に対して、WordPressの管理画面へアク セスできないようにする機能です。
通常、WordPressの管理画面のURLは「http://ドメイン/wp-admin/」です。 この設定を有効にすることにより、ログインせずにアクセスすると「404エラー」画面を返すよう になります。
これによって、悪意のあるユーザーの管理画面への侵入を防ぎ、ファイルへ直接アクセスして行う 攻撃も防げます。
「除外パス」に記載したディレクトリやファイルは対象外としますが、特に指定がなければデフォルトのままで問題ないです。
ログインページ変更
設定は「ON」にします。
WordPressのログインページのURLを変更する機能です。
WordPressのログインページのURLは、通常では「http://任意のドメイン/wp-login.php」で共通な のですが、この設定により任意のURLへ変更することができます。これにより、管理画面のログイ ンページを特定しにくくして攻撃を未然に防ぐことが可能です。
ひとつ前で設定した「管理ページアクセス制限」を「OFF」にしてしまうと、ここでログインペー ジのURLを変更した場合でも、「http://任意のドメイン/wp-login.php」にアクセスすると勝手に変 更後のURLへリダイレクトされてしまうため、「管理ページアクセス制限」と「ログインページ変更」は両方合わせて「ON」にすることで、初めて効果を発揮することになります。
変更後のURLは、忘れてしまわないようにブックマークなどへ登録しておくことをおすすめしま
す。
もし、URLを変更後に管理画面のURLを忘れてしまった場合でもURLを確認する方法はあります。 ブログが置いてあるサーバーへFTPなどでアクセスし、今回設定を行ったブログのディレクトリ内 の.htaccessファイルの中を見れば解りますので、安心してください。
レンタルサーバーをエックスサーバーで運用されている場合は、サーバーパネルにログインし、 「.htaccess編集」からも確認することができます。
ログインページのURLの確認方法
/ドメイン(/public_html) 1.htaccessファイルを開くと、以下のような記述があります。 確認したい時にみるのは、6行目の『login_12345』の部分です。
これが、現在のログインページのアドレスになります。
画像認証
設定は「ON」にします。
ログイン画面に画像認証を設置できます。
設定項目は全てひらがなで設定しましょう。
「ON」にすると、ログイン画面はこのようになります。
ユーザー名とパスワード入力エリアの下に、画像で示された「ひらがな」を入力する項目が増えて いるはずです。ユーザー名とパスワードの他にもう一つ認証を組み合わせることで、不正ログイン を難しくします。
この機能は、ロボットや海外からの攻撃に非常に効果的ですので「ON」にしておきましょう。
ログイン詳細エラーメッセージの無効化
設定は「ON」にします。
ログイン失敗時のエラーメッセージを常に同じものを表示させる設定です。
通常はログインに失敗すると、失敗の原因を詳しく教えてくれるのですが親切すぎるのも困りもの です。なぜならば、メッセージからIDとパスワードのどちらが正解しているのか等の情報が分かっ てしまうからです。
この機能をONにしておくことで、ログイン失敗の原因を隠しておけます。
ログインロック
設定は「ON」にします。
繰り返しログインに失敗したユーザーを一定時間ロックする機能です。
不正アクセスは、主に機械的なプログラムを利用して、1秒間に何十回というスピードで連続的に 攻撃してきます。それを一定時間、無効化できます。
時間や回数などの設定項目はお好みで選択してください。デフォルトでも問題ないです。
ログインアラート
設定は「ON」にします。
不正なログインに気づきやすくするための機能です。
この機能を有効化した状態で管理画面にログインすると、登録したアドレス宛てにメールが送信さ れます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑って念の 為、パスワードなどの変更を行っておきましょう。
フェールワンス
設定は「OFF」にします。
この機能は、パスワードリスト攻撃を受けにくくするための機能です。
設定を「ON」にしておくと、正しいログイン情報を入力しても、1回目のログインを必ず失敗させ ます。その後5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
僕の場合、管理画面にログインする機会が多いため、この機能は「OFF」にしています。 「OFF」でもクリティカルな問題はない機能ではありますが、ログイン時に煩わしさを感じないよ うであれば、「ON」にしておきましょう。
XMLRPC防御
設定は「ON」にします。
ピンバックによる不正な攻撃を防ぐ機能です。
ピンバックとはブログにリンクが張られたことを通知する機能です。この機能を悪用した攻撃で DDos攻撃というものがあります。大量のアクセスを特定のサイトに送ることで、サーバーへ負担 をかけダウンさせてしまう攻撃です。
「XMLRPC無効化」の方を選択すると、他のプラグインに影響を及ぼしてしまう可能性があるた め、「ピンバック無効化」を選択しましょう。
今後、WordPressでピンバックを使いたい方は「OFF」にしてても問題ないです。
更新通知
設定は「ON」にします。
WordPress本体・プラグイン・テーマの更新が必要になった場合に、管理者宛にメールで通知して くれる機能です。
セキュリティの基本は、常に最新のバージョンのWordPressを利用することですので「ON」にし て、WordPressを常に最新の状態に更新しておきましょう。更新の確認は、24時間毎に実行されます。
WAFチューニングサポート
設定は「OFF」にします。
WAFをWordPressでうまく利用するための設定項目です。
WAFとは「Webアプリケーションファイアーウォール」の略なのですが、大規模サイトなどでよ く用いられるセキュリティです。今回は使用しないので「OFF」にしておきましょう。
以上です。お疲れ様でした!
まとめ
WordPressを狙う攻撃には、他にもシステムやプラグインの脆弱性を狙ったものも存在します。
今回インストールした「SiteGuard WP Plugin」により最低限のセキュリティは担保されました が、セキュリティ対策でもっとも大事なのは、WordPressやプラグインを常に最新の状態に保つことですので、細めな更新を心がけましょう!
以上となります。お疲れ様でした。
参照URL:https://lifool.com/wordpress-site-guard-wp-plugin/
