サーバーセキュリティ対策

 

こんにちは!マサトモです。

 

早速ですがあなたはブログ運営をしていくなかで、
不正ログインやアクセスにより、
ブログを改ざんされる危険感をもっていますか?

 

ハッキング被害やウィルスを仕込まれるなどの、
被害を被った人もいるようです。

 

このような犯罪は他人事ではなく、あなたにも起こる話です。

 

そこで、WordPressでビジネスをおこなっているなら、
ハッカー攻撃により乗っ取りなどの被害を受けないように
不正アクセスなどの対策は必須です。

 

現実、サイト・ブログを乗っ取られ、
自分のブログなのに中身が書き変えられたり、
ログインできなくなったという人もいますから。

 

特にWordPressを始めて使う初心者の方は、
取り敢えずではなく、確りとセキュリティ対策をしましょう。

 

ということで、いままで、セキュリティを意識していなようなら、
これを機会に導入を検討してみるといいでしょう。

 

で、セキュリティ対策として便利なのが
「SiteGuard WP Plugin」というプラグインなのです。

 

他に優秀な対策方法は有りますが、この記事では、
初心者でも簡単に尚且つ多くの方が取り入れている
SiteGuard WP Pluginがオススメですので、

紹介するプラグインの使い方や導入について、
解説していきたいと思います。

 

スポンサーリンク

事前に対策!ハッキング被害からブログ・サイトを守る

 

WordPressは世界で一番使われている、
ブログを運営するための無料で使えるソフトウェアです。

 

サイトデザインは豊富だし、
カスタマイズが自由自在にできることから、
多くのユーザーに人気があり利用されています。

 

しかし人気がある反面、
WordPressはオープンソースであることから、

ハッカーなどの外部からの不正アクセスなど、
安全性に問題があるとされ、
自己防衛対策をしっかりと行っておく必要があります。

 

サイトへの攻撃や乗っ取りなどの危険性を排除し、
安全で安心して運営していく上でセキュリティ対策は、
万全に行っておきたいもの。

 

そこで外部からの危険性を排除して、
安全性を保つために、WordPressセキュリティ対策に
プラグイン「SiteGuard WP Plugin」があります。

 

不正アクセスによる、
ブログが改ざんされないための対策の一つとして、
プラグインを利用しましょう。

 

そこでプラグインの導入から設定までを
詳しくお話しをしていきます。

 

Site Guard WP Plugin基本的な機能

 

プラグイン「SiteGuard WP Plugin」の基本的な機能は、
導入するだけで、セキュリティが強化され、

管理・ログインページの保護のもと、
ブルートフォースアタックから
ブログ・サイトを守ってくれるプラグインです。

 

また、日本語のマニュアルで設定はしやすく助かります。

 

ブルートフォースアタックとは

 

このプラグインを設定する前までは、
ブルートフォースアタックってなに・・・?

という位全く聞いたことがなかった言葉でした。

 

意味がわからなければ説明もできないので、
wikipediaから引用してみました。

 

総当たり攻撃(そうあたりこうげき)とは、
暗号解読方法のひとつで、可能な組合せを全て試すやり方。

力任せ攻撃、または片仮名でブルートフォースアタック
(英: Brute-force attack)とも呼ばれ、

暗号や暗証番号などで、
理論的にありうるパターン全てを入力し解読する暗号解読法。

例としては、自転車のチェーンロックやトランクのダイヤル錠を、
全ての番号の組み合わせ(4桁なら0000から9999まで)
を片っ端から試す方法と同じで、この「片っ端から」で、

いずれ正解に行き着こうというものである。

引用元:wikipedia

 

 

Site Guard WP Pluginインストール

 

ワードプレスの管理画面から、「プラグイン」⇒「新規追加」
「Site Guard WP Plugin」と検索します。

 

ダッシュボードプラグイン

 

プラグイン追加⇒「Site Guard WP Plugin」と入力。

 

 

プラグイン追加

 

「今すぐインストール」⇒「有効化」をクリック。

 

インストールが済むと、
ログインURLが変更された旨の表示が管理画面に表示されます。

 

プラグインインストール

 

有効化をクリックでSiteGuard WP pluginの導入完了

 

プラグイン有効化

 

この時点でログインURLが、
デフォルトの「https://ドメイン名/wp-login.php」

から「https://ドメイン/login_12345」(数字が入る)へと
変更になっているのでブックマークしておくといいでしょう。

 

有効化後に次の画面に代わるので、
赤枠の「新しいログインページURL」をクリックして、
その画面をブックマークしておきましょう。

 

新しいログイン

 

Site Guard WP Plugin設

 

Site Guard WP Pluginを有効化すると、
管理画面のメニューに「Site Guard」が追加されます。

 

管理画面

 

設定を編集したい場合はこちらをクリック。

 

すると「SiteGuard WP Plugin」
の管理画面が表示されます。

 

プラグイン管理画面

 

設定・確認できる項目は以下の通り。

 

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログインページ詳細エラーメッセージの無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRP防御・更新通知
  • WAFチューニングサポート
  • 詳細設定
  • ログイン履歴

 

ひとつずつ解説していきます。

 

管理ページへのアクセス制限

 

プラグイン管理ページ

 

ログインしていないユーザーを
管理ページ(管理画面)へアクセスを防ぐ機能です。

デフォルトでオンになっています。

 

WordPressの管理画面にログインすると、
通常ページURLが「https://ドメイン名/wp-admin/」
となっています。

 

ログインせずにアクセスすると
404エラーを返すように設定できるのがこの機能です。

 

この設定により、管理画面への侵入を防ぎ、
ブログ・サイトなどの改ざん、
乗っ取りなどの被害を防御してくれます。

 

なのでオンのままにしておくといいです。

 

ログインページの変更

 

ログインページ

 

ログインページのURLの名を変更する設定です。

デフォルトでオンになっているのでそのままでOK。

 

通常、ワードプレスのログインURLは
「https://ドメイン名/wp-login/」ですが、

Site Guard WP Pluginを有効化すると、
https://ドメイン名/login_〇〇〇〇〇/」といった
URLに変更になります。

 

末尾の5桁の数字は乱数が設定されるのですが、
この部分は好みで設定することができるので、

変更後のURLは忘れてしまわないように、
メモしておきましょう。

 

画像認証

 

画像認証

 

ログイン画面にユーザー名・パスワードと共に、
ひらがなと言った認証入力が必要となる機能になります。

 

不正アクセスを行ってくる接続元は、
海外からが多いので、
ひらがな入力は有効な対策とされているようです。

 

ユーザー名とパスワードに、
ひらがなの認証を合わせることで、
不正ログインを難しくしてくれます。

 

ログインページだけではなく、
コメントフォームにも画像認証を追加できるので、
不正ログインだけではなくスパムコメントにも有効。

 

機会的な不正ログイン
(ブルートフォースアタック)や、

スパムコメントは海外からがほとんどなので、
画像認証をひらがなにしておくだけでも、
ある程度安全性は上がります。

 

なので、そのままオンにしておくといいでしょう。

 

ログイン詳細エラーメッセージの無効化

 

エラーメッセージ無効化

 

ログインエラーした際の詳細なエラーメッセージに変えて、
すべて同じメッセージを返す設定です。

 

そのため、どの項目が間違っているのかわからなくしているので、
不正なログインができないようする機能です。

 

ログイン画面

 

デフォルトでオンになっていのでそのままでOK。

 

通常、ワードプレスはログインに失敗すると
「無効なユーザー名です」「パスワードが間違っています」
といった個別で表示がされます。

 

これは不正アクセスを試みる側としては、
「ユーザー名」「パスワード」の何れかが間違っていると、

特定されてしますので、
不正を防止する意味では役に立ちません。

 

それを防ぐため、

「どの認証で失敗したのか」分からせないために、

エラーメッセージをすべて同一のものに変更して、
原因を隠しておけます。

 

なのでオンにしておくといいでしょう。

 

ログインロック

 

ログインロック

 

繰り返しログインに失敗した際に、
接続元を一定期間ログインできなくする設定です。

 

デフォルトでオンになっています。

 

これは機械的な
不正ログイン(ブルートフォースアタック)に対しても、

有効な機能なので、オンにしておくといいですね。

 

5秒の間に複数回ログインを失敗するなんてことは、
通常はあり得ないことなので、ある一定の回数を失敗すると、
1分間ロックがかかる設定になっています。

 

ログインアラート

 

ログインアラート

 

管理画面へログインした際に、
ワードプレスに設定されているメールアドレスに
通知を送る設定です。

 

この設定により、
不正なログインに気付くことができます。

 

デフォルトでオンになっているのでそのままでOK。

 

自分がログインしていないのにメールが届いたら、
不正ログインを疑うことができるのでオンにしておきましょう。

 

因みに自分がログインした場合でも届くんですが、
いちいちログインのたびにメールでお知らせをうけるのも、
正直うっとうし気もしますが、安全第一なので必須ですよね。

 

フェールワンス

 

リスト攻撃防御

 

正しく入力したログイン情報でも、
一回目は必ずエラーとして失敗させる機能です。

 

デフォルトではオフになっているのですが、
手間になるけれどセキュリティを高めるために有効な手段です。

 

フェールワンスがオンにすることで、
正しいログイン情報を入力しても、
1回目は必ずログインエラーを表示します。

 

その後5秒以降、60秒以内に、
再度正しいログイン情報を入力するとログイン可能。

 

要するに不正ログインしようとした人がいても、
正しい情報を正しくない情報と、
誤認させることができるということですね。

 

なのでセキュリティを考えると非常によい機能なのですが、
自分自身がこの設定をわすれていると
正しい情報を入力しているのにログインできないという
勘違いから焦ってしまう可能性があります。

 

なので、常にログインするような状況なら、
オフにしておいた方が煩わしさが少ないかもしれません。

 

もちろんオンにしておいた方が安全ですが、
オン・オフの設定にするかは人の運営状態で変えるといいでしょう。

 

XMLRPCSITE防御

 

ピンバック機能無効化

 

デフォルトでは、
「ピンバック無効化」がオンになっています。

 

ピンバックを使いたい方は、オフにすると良いですが、
ピンバックを悪用されることもあるので基本的には、
オンの方がいいでしょう。

 

XMLRPを無効化すると場合によって、
他のプラグインに影響がでる場合があるので、
チェックは入れない方が無難。

 

更新通知

 

更新通知

 

ワードプレス、テーマなどのアップグレードや、
プラグインのアップデートなどで、更新通知が届く設定です。

 

デフォルトでオンになっています。

 

ワードプレスのセキュリティ対策として、
ワードプレスのバージョンアップ、

プラグインなども、
常に最新版にしておくことは非常に大事ですね。

 

ですが、しばらくログインしていないワードプレスだと、
更新されたことに気付かず、
旧バージョンをすっと使っていた・・・

 

なんて事も起こりがち。

 

古いバージョンのワードプレスやラグインだと、
脆弱性を狙ってサイトが改ざんされてしまう可能性もあるので、
できる限りすみやかに最新版にしておくことが望ましいです。

 

この設定がオンになっていれば
更新が必要になった際にメールが届くので、
速やかなバージョンアップが可能です。

 

WAFチューニングサポート

 

誤検知回避

 

デフォルトではオフになっています。

 

必要に応じて「ルールの適用」ボタンで追加できますし、
特に困らなければオフのままでOK。

 

※エックスサーバーをお使いのかたは、
サーバーパネルの設定画面で、必要な項目で設定できます。

 

エックスサーバーWAF設定の詳細について書かれています。

⇒:エックスサーバーWAFマニュアル

 

WAFチューニングサポートの機能は
WordPressを導入後にトラブルが起こることがあります。

 

例えば、

プラグインや外観のカスタマイズの設定変更や、
ウィジェットの編集が正常に反映されないなどで、
403エラーにより設定が変更できないことがおきます。

 

※「403エラー(Forbidden)」とは、
サーバーからアクセス拒否によりおこるエラー表示となります。

 

プラグインやウィジェットの編集が正常に反映されない場合は、
WAFが影響している可能性があるので、

そこで新たなルールを設定すればエラーを予防できるようになります。

 

ルール設定を詳しく知りたい方のためにリンクを貼っておきます。

WAFチューニングサポートサイト

⇒JP-Secure:詳細なルール設定について解説されています。

 

詳細設定

 

IPアドレス取得方法

 

IPアドレスの取得方法を変更できますが、特に理由が無い限りそのままでOK。

 

ログイン履歴

 

ログイン履歴

 

ログインの成功・失敗を問わず、
ログイン履歴が記録してくれます。

 

最大1万件保存され、
1万件を超えると古いものから削除されていく。

 

画像不正なログインを試みたユーザーの履歴が残るので、
リスクを減らすために、敵的に確認することをお勧めします。

 

Site Guard WP PluginのON設定まとめ

 

ここまで解説してきてましたが、
おすすめの設定は以下の通り。

 

・管理ページアクセス制限:ON

・ログインページ変更:ON

・画像認証:すべてひらがなでON

・ログインページ詳細エラーメッセージの無効化:ON

・ログインロック:ON

・ログインアラート:ON

・XMLRPC防御:ON(タイプ項目のピンバック無効化にチェック)

・更新通知:ON(以下の項目にチェックWordPress・アクティブなテーマとプラグイン)

・WAFチューニングサポート:必要に応じてON・OFFの設定

・詳細設定:デフォルトのままOK

 

フェールワンスについてでが、
頻繁にログインするならOFFにしておきましょう。

 

 

 WordPressセキュリティ対策プラグイン設定まとめ

 

如何でしたか、不正なアクセスやスパムから、
ブログを乗っ取られ、ログインできなくなったなどの
被害を受けてからでは遅いですよね。

 

WordPress運営者にとっては欠かせないプラグインです。

 

不正防止や安全を担保するために、WordPressを始めたら、
まずはセキュリティ対策は必ず行っておきましょう。

 

というわけで、
SiteGuard WP Pluginの機能と設定についてまとめました。

 

ログインURLを変更するだけでも、
ある程度の不正ログインを防ぐことが出来ますし、

Site Guard WP Pluginひとつで、
心強い安全対策が出来る便利なプラグインです。

 

現在または今までワードプレスのセキュリティ対策を全くしていこない・・・
という方は対策としてインストールしておくといいですね。

 

スポンサーリンク