「SiteGuard WP Plugin」は不正ログインを防止するプラグインです。
WordPressの管理画面やログイン画面から不正ログインされてしまうと、サイトの乗っ取りや改ざん、個人情報の漏洩などの被害に見舞われることがあります。
ログイン画面は誰でもアクセスすることが出来る為、不正ログインの攻撃の対象になりやすいのです。
- ログイン画面のURLを変更する
- コメントスパム対策
この記事では「SiteGuard WP Plugin」の設定方法から使い方を紹介します。
\本サイトで使用中のWordpressテーマ/
「SiteGuard WP Plugin」のインストール
まず、Wordpressに「WebSub」をインストールして有効化しましょう。
①管理画面「プラグイン」→「新規追加」をクリックします
②検索窓に「SiteGuard WP Plugin」を入力します。
③「SiteGuard WP Plugin」が表示されたら、「今すぐインストール」をクリックします。
インストールが終了したら「有効化」をクリックします。
これで「SiteGuard WP Plugin」のインストールが終了しました。
設定方法
管理画面「SiteGuard」から、設定や確認が必要なページを案内します。
管理ページアクセス制限
初期のWordPressの管理画面のURLは「http://ドメイン名/wp-admin」です。
この「管理ページアクセス制限」を「ON」にすると、悪意のある第三者から「http://ドメイン名/wp-admin」にアクセスされた時、ログインが行われていない接続元IPに対して404(NotFound)で返し、アクセスできないようにします。
設定をするには、「ON」をクリックし、「変更を保存」をクリックします。
ログインURLの変更
「SiteGuard WP Plugin」がインストールされ有効化されると、WordPressログイン画面のURLが変更されます。
管理画面で確認する方法は、「SiteGuard」→「ログインページ変更」をクリックします。
こちらのページでは「ログインページ変更」の設定をすることができます。
以前のログインURLに戻したい場合は、この機能を「OFF」にすることで戻ることが出来ます。
ログインページ名は、英数字、ハイフン、アンダーバーを使用して自分で指定することが出来ます。
変更を行った場合は「変更を保存」をクリックしましょう。
画像認証
この機能はデフォルトで「ON」になっています。
画像認証機能が「ON」の状態は、Wordpressにログインするとき、ユーザー名とパスワード以外に画像に書かれた文字を入力するフォームが出現します。
画像認証をONにしておくとセキュリティ強化されますが、もし自分の判断で必要がなければ「OFF」にします。
変更をした場合は「変更を保存」をクリックしてください。
XMLRPC防御
XMLRPCとは、Wordpressと他のシステムの間の通信を可能とする仕様の事です。
例でいうと・・・
- WordPressのスマホアプリ
- 被リンクのピンバック
- リモート投稿 など
などで、XMLRPC機能を止めるとこれらが全て出来なくなります。
ですが、Wordpressは管理画面から記事の編集や投稿をするのが基本です。
特にこだわる理由が無ければ、XMLRPC防御をONにするのが安全です。
XMLRPC防御はデフォルトでONになっていますが、「XMLRPC無効化」を選択して「変更を保存」をクリックしましょう。
更新通知
更新通知はWordpressやプラグイン、テーマの更新があった時にメールで通知してくれる機能で、デフォルトで「ON」になっています。
更新通知のメールが大量に届く為、「OFF」にしても良いと思います。
ログイン履歴の確認
ここではログイン履歴が確認できます。
結果は4種類あります
成功:ログイン成功
失敗:不正アクセス
フェールワンス:ログインが成功する場合でも、一度失敗させて次の組合わせの施行に進ませて攻撃を回避する
ロック:機械的なログイン試行をブロック。同一接続元からの連続した失敗を検出して当該接続元からの接続をロックします。
注意しなければならない履歴は結果が「失敗」「ロック」となっている履歴です。
その場合は設定していない部分を設定したり、「SiteGuard WP Plugin」の機能を利用して、セキュリティを強化しましょう。
トラブル:ログインできなくなった
「SiteGuard WP Plugin」をインストール&有効化にするとログインURLが変更されてしまうため、ログインができなくなるというトラブルが起こることがあります。
更新通知をONにしていた場合、変更されたログイン画面のURLがメールで送付されていますので探してみましょう。
もう一つの方法は、FTPでサーバーのWordpressがインストールされている場所にアクセスし、「.htaccess」ファイルを見ることでURLを確認することが出来ます。
ConoHa WINGで「.htaccess」を確認する方法
以下はConoHa WINGのファイルマネージャを使用した「.htaccess」の確認方法です。
ログインし「サイト管理」→「ファイルマネージャー」をクリックします
ログインし「サイト管理」→「ファイルマネージャー」をクリックします
左側から、対象のWordpressのドメイン名を選択します
「.htaccess」ファイルを探します。
「.htaccess」を右クリックします。
「ファイル編集」→「テキストエリア」をクリックします
「.htaccess」が表示されますので、以下の文字列を探します。
RewriteRule ^login_00123(.*)$ wp-login.php$1 [L]
この場合、「login_00123」が変更された管理画面URLになりますので、Wordpressの管理画面URLは
http://ドメイン名/login_00123
となります。数字の部分がランダムになっています。
まとめ
「SiteGuard WP Plugin」はWordpress管理画面・ログイン画面の不正アクセスを防止するプラグインです。
このプラグインを使用する上で注意したいことは、ログインURLが変更されることです。
更新通知をONにしておくと、変更されたログインURLがメールで届いているので確認することもできます。
「SiteGuard WP Plugin」の「ログインページ変更」からURLを確認して、ブックマークやメモをしておくなど忘れないようにしておきましょう。
