WordPressでサイトを運営していると、セキュリティに気を使いますよね。
そこで役立つのが、JP-Secure提供のプラグイン「SiteGuard WP Plugin」
複数の不正ログイン対策プラグインを導入しても到達できなかったレベルのセキュリティーをこれだけで達成できる優れものです。
なぜセキュリティが必要なのか
WordPressは、ブラウザからログインするだけで編集や設定ができます。
これは便利な反面、悪意のある人が不正ログインするというリスクも抱えているということです。
無料ブログサービスでは、ログインしてもウィルスなど悪意のあるプログラムを埋め込むことができない仕様になっているので、不正ログインされても記事を書き変えられる程度で済みます。
しかしWordPressでは違います。
アカウントを盗まれれば、不正なプログラムを埋め込むことなど簡単です。
ですから、WordPressで作ったサイトは、常にハッカーに狙われていると考えるべきです。
それも、管理者名とパスワードを総当たりで調べるだけなので、ツールを使えば素人でも攻撃できてしまうのです。
この重要なセキュリティ対策を手助けしてくれるのが、SiteGuard WP Pluginです。
SiteGuard WP Pluginの機能
SiteGuard WP Pluginには、セキュリティに関する様々な機能が実装されていますので、それを順番に説明していきます。
管理ページアクセス制限
ログインしていない状態では、管理ページにアクセスできないようにする機能です。
不正ログインの攻撃にはあまり効果はありませんが、相手が使うツールによっては効果を示すこともあります。
ログインページ変更
ログインページのアドレスを、デフォルトの”サイトURL/login”から、違うアドレスに変更する機能です。
攻撃者はログインページで管理者名とパスワードを総当たりで試すので、アドレスを変えてログインページに簡単にアクセスできないようして攻撃を防ぎます。
ただ、管理者までログインできなくなっては困るので、通常のページの「ログイン」をクリックすればアドレス変更後のログインページに移動します。
ですから、ログインページに直接アクセスできず、ひと手間必要にするという効果だと思ってください。
画像認証
ログインする時に、画像認証を必要とさせる機能です。
ひらがなの画像を入力するので、海外からの攻撃には特に強いでしょう。
ログイン詳細エラーメッセージの無効化
ログインに失敗したとき「ユーザー名が違う」「パスワードが違う」などの情報を表示しないようにする機能です。
ログインロック
ログイン失敗を繰り返した場合、一定の時間ロックする機能です。
ログインを3回続けて失敗すると、20分間ロックするなど、自分で設定できます。
ログインアラート
新しくログインされたら、メールで通知してくれる機能です。
自分がログインしていないのに通知が来たら、誰かに不正ログインされたということなので、すぐに対応できます。
フェールワンス
正しい管理者名とパスワードを入力しても、一度エラーを返し、2回目でログインする機能です。
一度目はエラーになることを忘れないでおけるなら、有効性抜群です。
XMLRPC防御
不正ログインというより、サイトに負荷をかけてアクセスしにくくする攻撃を防ぐ機能です。
ピンバックだけを無効、全てのXMLRPCを無効のどちらかが、選択できるようになっています。
全てのXMLRPCを無効にすると、一部のプラグインは動作しなくなる場合があるので、デフォルトではピンバック無効になっています。
更新通知
WordPress、プラグイン、テーマが更新されたら、メールで通知してくれる機能です。
これによって、常に最新バージョンで運用できます。
WAFチューニングサポート
WAFとして、SiteGuard Liteを使用している場合の詳細設定をする機能です。
通常は関係ないので、放っておいて大丈夫です。
SiteGuard WP Pluginの設定方法
設定方法といっても、特に操作することはありません。
SiteGuard WP Pluginをインストールして有効化するだけで、セキュリティが高まります
デフォルトでは、フェールワンスだけがOFF(XMLRPC防御はピンバックON)になっていますので、これをONにするとよりセキュリティが上がります(正しい入力をしても一度はエラーが返ってくることを忘れないように)。
機能の詳細も、こだわりがない限りデフォルトのままで構いません。
変更したい場合も、日本製のプラグインなので迷うことなく操作できるでしょう。
最後に
以前にWordPressでブログを作ったとき、セキュリティ用に3種類のプラグインを使っていました。
その時のプラグインを全て合わせたより、SiteGuard WP Pluginひとつの方がセキュリティが高く、手放せない必須プラグインとして重宝しています。
ついでに管理者名の秘匿もできれば、セキュリティは全て任せることができるのに、と思うのは高望みでしょうか?