今回はこういった悩みを解決していきます。
SiteGuard WP PluginはWordPressサイトのセキュリティ対策に特化したプラグインです。
使い勝手も良く、たくさんのWordPressユーザーに人気があります。
今回はそんなSiteGuard WP Pluginの設定方法や使い方について詳しく解説していきます。
WordPressブログを始めたばかりの初心者の方は必見です!
この記事でわかること
- SiteGuard WP Pluginとは
- SiteGuard WP Pluginの導入手順
- SiteGuard WP Pluginの設定方法
- SiteGuard WP Plugin使用上の注意点
当サイトではプログラミングやWebサイト運営に関する記事を毎日投稿しています。
他の記事も合わせてご覧ください。
WordPressプラグインで迷っている方はこちらの記事もおすすめです。
-
WordPressのおすすめプラグイン10選!【初心者必見】
WordPressサイトを運営しているけど、どんなプラグインを導入すれば良いのか分からない! 今回はこんな疑問にお答えしていきます。 WordPressでサイトを運営する際、絶対に必要になってくるのが ...
続きを見る
目次
SiteGuard WP Pluginとは
SiteGuard WP Pluginとは不正アクセスからサイトを守るためのプラグインです。
世の中にはみなさんが運営するWordPressサイトに不正ログインしようとする悪い人がたくさんいます。
そうした不正ログインの被害を未然に防ぐために、サイトのセキュリティを強化するプラグインというわけです。
具体的には以下のような機能が備わっています。
SiteGuard WP Pluginの機能
- 不正ログイン対策機能
- 管理ページへの不正アクセスの防止機能
- コメントスパム対策機能
こういった対策機能を搭載することで、「ウェブサイトの改ざん」「不正ログイン」「コメントスパム」といった被害を防止できるのです。
またSiteGuard WP Pluginの開発元は、JP-Secureというウェブサイトセキュリティの専門企業です。
みなさんのWordPressサイトを危険から守るためにも、是非ともインストールしておきたいプラグインなのです。
SiteGuard WP Pluginの導入手順
続いてはSiteGuard WP Pluginの導入手順についてご紹介していきます。
SiteGuard WP Pluginの導入手順
- WordPress管理画面からプラグインページへ
- SiteGuard WP Pluginを検索
- プラグインをインストール&有効化
それでは詳しく見ていきましょう。
1. プラグイン画面へ
ますはWordPress管理画面からプラグイン専用ページに移動します。
左側のメニューから「プラグイン」→「新規追加」を選択しましょう。
2. SiteGuard WP Pluginを検索
このページでは右上の検索バーからインストールしたいプラグインの名前「SiteGuard WP Plugin」を検索します。
検索結果にSiteGuard WP Pluginが表示されたら「今すぐインストール」をクリックします。
3. プラグインのインストール&有効化
インストール中はこんな画面になりますので、数秒だけ待機しましょう。
インストールが完了すると「有効化」ボタンも表示されますので、こちらもクリックします。
SiteGuard WP Pluginの導入はこれで完了です。
SiteGuard WP Pluginの設定方法
さてここからはSiteGuard WP Pluginの設定方法・おすすめの設定について見ていきましょう。
SiteGuard WP Pluginには12種類の設定項目があります。
SiteGuard WP Pluginの設定項目
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
それでは順番に見ていきましょう!
1. 管理ページアクセス制限
通常ログインしていない状態でWordPressの管理画面(/wp-admin/以降)にアクセスすると、ログイン画面が表示されます。
これに対して「管理ページアクセス制限」では、24時間以内にログインが行われていないIPアドレスで管理画面にアクセスすると404(Not Found)ページが返されます。
カフェのWi-Fi、旅行先のWi-Fiなど新しい場所でログインしようとすると厄介なのでOFFにするのがオススメです。
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
おすすめの設定
- OFF
2. ログインページ変更
WordPressログイン画面のURLを変更できます。
基本的にWordPressのログイン画面は「https:ドメイン名/wp-admin」なのですが、この"wp-admin"の部分を自由に決めることが出来ます。
URLの初期値は「login_5桁の乱数」ですが、お好みのテキストに変更可能です。
ログインURLを変更すると「/wp-admin.php」や「/wp-login.php」にアクセスできなくなります。
設定したURLを忘れるとログインできなくなってしまうので、「ブックマークに登録」「メモ帳に書き留めておく」など忘れないようにしておきましょう。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
おすすめの設定
- ON(登録したURLは忘れないようにしましょう)
3. 画像認証
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに画像認証画面を搭載することができます。
実際の画像認証画面
これにより機械やボットを使った不正ログイン・コメントスパムを防止できるのです。
認証画面は「ひらがな」「英数字」から選択できます。
海外の方からは理解しづらい「ひらがな」にしておきましょう。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
おすすめの設定
- ON(すべてひらがな)
4. ログイン詳細エラーメッセージの無効化
ログイン失敗時のエラーメッセージがすべて同じ内容になります。
もともとWordPressのログインでは、
ユーザー名を間違えると「ユーザー名が違います」
パスワードを間違えると「パスワードが違います」
とアラートされます。
これだと入力内容によっては「ユーザー名」が正しいことを教えてしまうことがあります。
「ログイン詳細エラーメッセージの無効化」はそうしたリスクを避けるための機能になります。
これによりユーザー名を調べようとする機械やボットの攻撃を防止できます。
ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
おすすめの設定
- ON
5. ログインロック
ログインロックでは、何秒の間に何回ログインに失敗したら何分ログインをロックするか設定できます。
これにより不正ログインを狙う機械的な攻撃を防ぐことが出来ます。
自分で間違えてしまうと面倒なことになるので注意しましょう。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
おすすめの設定
- 期間:5秒
- 回数:3回
- ロック時間:1分
6. ログインアラート
WordPress管理画面にログインが行われたときに、メールに通知が届くように設定できます。
心当たりが無いのにメールが来た場合は、不正ログインが行われたと気づくことができます。
セキュリティ面では良い機能なのですが、自分がログインするたびにメールが来るのは鬱陶しいのでOFFにするのがオススメです。
不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。
(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)
XML-RPCによるアクセスは通知されません。
おすすめの設定
- OFF
7. フェールワンス
フェールワンスでは正しいログイン情報を実行しても、1回だけ失敗を返します。
そして5秒〜60秒以内にもう一度正しいログイン情報を入力すると、ログインが成功するという機能です。
こちらもセキュリティには便利な機能ですが、ログインに手間がかかるのでOFFにするのがオススメです。
リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
おすすめの設定
- OFF
8. XMLRPC防御
XMLRPC防御はPingback機能(リンク元がリンク先に通知する機能)の無効化、あるいはXMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。
XMLRPCとはWordPress管理画面の外から、投稿の作成や削除を操作できる機能です。
本機能は他のプラグインとの関係で通常の操作に支障をきたすことがあります。普段のWordPress操作に支障がない場合のみONにしておきましょう。
Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
おすすめの設定
- ON
9. 更新通知
更新通知ではWordPress・プラグイン・テーマの更新が必要になったら、メールで通知が届く機能です。
セキュリティとあまり関係がなく、メールの通知もうるさいのでOFFにするのがオススメです。
セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
おすすめの設定
- OFF
10. WAFチューニングサポート
レンタルサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
特にこだわりの無い方は初期状態同様OFFのままでOKです。
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
おすすめの設定
- OFF
11. 詳細設定
詳細設定ではログインユーザーのIPアドレスの取得方法を設定できます。
こちらも特に設定を変更する必要がありません。
IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-Forの値の右端から何番目かを表します。
おすすめの設定
- ON(リモートアドレス)
12. ログイン履歴
ログイン履歴では名前の通り、過去のログイン履歴を最大10,000件まで閲覧できます。
不正ログインに心当たりがある場合にはこちらの画面で確認してみましょう。
表に書かれた各項目の概要は以下の通りです。
| 項目名 | 概要 |
| 日時 | ログインが試された日時 |
| 結果 | ログイン結果(成功・失敗・ロック・フェースワンスのどれか) |
| ログイン名 | ログインが試されたユーザー名 |
| IPアドレス | ログインが試されたアクセスのIPアドレス |
| タイプ | アクセス先のページ |
もし心当たりのない日時にログインが成功されていた場合、不正ログインの可能性がありますので注意しましょう。
注意ポイント
上画像の「結果」という列を見ると「ロック」と書かれたログイン履歴が並んでいます。
よく見ると5秒間の間に10回もログインが試されており、機械的なアクセスだと考えられます。
このように不正ログインは想像以上に身近で行われているので十分に注意しましょう。
ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。
SiteGuard WP Pluginの使用上の注意点
最後にSiteGuard WP Pluginを使っていく上で注意しておきたいポイントをいくつかご紹介します。
SiteGuard WP Pluginの使用上の注意
- ログインページはブックマークしておこう
- ログインページを忘れた時の対処法
順番に見ていきましょう。
ログインページはブックマークしておこう
先程も軽く触れましたが、SiteGuard WP Pluginでログインページを変更した時はそのURLを必ずメモしておきましょう。
メモと言うよりブックマークしておいたほうが確実です。
もしもログインページを忘れてしまうと「/wp-login.php」にも「/wp-admin.php」にもアクセスできなくなります。
最悪の場合一生WordPress管理画面にアクセスできなくなることもありますので十分に注意しましょう。
ログインページを忘れた時の対処法
ログインページを忘れた時の対処法は2つあります。
ログインページを忘れた時の対処法
- FTP接続でサーバーにアクセスして「.htaccess」ファイルを見る
- ブラウザの履歴をさかのぼる
FTP接続には専用のソフトが必要です。
また接続には「レンタルサーバー会社ごとのサーバー名」「ユーザー名」「パスワード」なども必要になります。
レンタルサーバー契約時に届いたメールなどを参照しながらFTP接続を行いましょう。
そんな方は、ブラウザの履歴を地道にさかのぼっていきましょう。
まとめ:SiteGuard WP Pluginの設定方法や使い方
- SiteGuard WP Pluginはサイトのセキュリティを保護する万能プラグイン
- SiteGuard WP Pluginの導入は超カンタン!
- 不正ログインは想像以上に身近で行われているので気をつけよう
- ログインページを変更する場合はURLを忘れないようにメモしておこう!
今回はSiteGuard WP Pluginの概要と導入手順、設定方法やおすすめの設定についてご紹介しました。
SiteGuard WP Pluginはあなたのサイトのセキュリティを保護する、重要なプラグインです。
もしも分からない部分があればお問い合わせフォームで質問して頂ければすぐに返信致します。
今サイトではこれからもウェブサイト運営に関する有益な情報をたくさん発信していきたいと思っていますので応援よろしくお願いします!
WordPressプラグインで迷っている方はこちらの記事もおすすめです。
-
WordPressのおすすめプラグイン10選!【初心者必見】
WordPressサイトを運営しているけど、どんなプラグインを導入すれば良いのか分からない! 今回はこんな疑問にお答えしていきます。 WordPressでサイトを運営する際、絶対に必要になってくるのが ...
続きを見る
