【WordPress】セキュリティ対策のプラグイン「SiteGuard WP Plugin」の使い方

画像に alt 属性が指定されていません。ファイル名: siteguard-wp-plugin_install_1.png — バージョン 1.6.0

ここではWordPresのセキュリティ対策のプラグイン「SiteGuard WP Plugin」の使い方について紹介します。

WordPres公式サイトはこちら https://ja.wordpress.org/plugins/siteguard/

ダッシュボード

ダッシュボードは、設定状況を確認する画面です。チェックの色が緑は有効、グレーは無効の状態です。また、リンクを選択すると各種設定画面に遷移します。

管理ページアクセス制限

管理ページアクセス制限は、管理ページ（/wp-admin/以降）に対する攻撃から防御するための機能です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを「404(Not Found)」で返します。ログインすると接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは順次削除されます。この機能を除外するURL（/wp-admin/以降）を指定することができます。
デフォルトはOFFです。

ログインページ変更

ログインページ変更は、ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。
プラグインを有効化した際にログインページのURLは「login_<5桁の乱数>」に変更されていますが、この画面で好みの名前に変更することができます。
デフォルトはONです。

画像認証

画像認証は、ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は「ひらがな」と「英数字」が選択できます。ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに「ひらがな」または「英数字」4桁による画像認証を追加します。
デフォルトはOFFです。

ONにすると画像認証が追加されています。

補足

XAMPPのローカル環境では画像認証を [ON] にすると「この機能を使用するには、次の拡張モジュールがサーバーにインストールされている必要があります。 ( gd ) 」というメッセージが表示されました。画像認証の機能を使用するにはPHPの画像処理ライブラリ「GD」が必要です。

ログイン詳細エラーメッセージの無効化

ログイン詳細エラーメッセージの無効化は、ユーザー名の存在を調査する攻撃を受けにくくするための機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
デフォルトはONです。

通常は何が間違っているのかを知らせるメッセージが表示されます。

ONにすると同じ内容のメッセージが表示されます。

ログインロック

ログインロックは、ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。特に機械的な攻撃から防御するための機能です。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。同一接続元からの連続したログイン失敗を検出した際に、当該接続元からのログインをロックする条件を設定する画面です。
デフォルトはONです。

ログインアラート

ログインアラートは、不正なログインに気づきやすくするための機能です。
ログインがあった際にユーザーにメールを送信する機能を設定する画面です。「管理者のみ」をチェックすると、管理者の権限を持つユーザーが対象になります。デフォルトはチェックされた状態です。
デフォルトはONです。

ログインアラートは以下の内容のメールが送信されます。

フェールワンス

フェールワンスは、リスト攻撃を受けにくくするための機能です。
正しいログイン情報を入力しても１回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力するとログインが成功します。
デフォルトはOFFです。

XMLRPC防御

XMLRPC防御は、XML-RPCピンバックを利用したDDoS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御します。
デフォルトはONです。

ユーザー名漏えい防御

ユーザー名漏えい防御は、”/?author=数字” のアクセスによるユーザー名の漏えいを防止します。
また、REST API によるユーザー名の漏えいを防止するため、REST API を無効化することができます。REST API の無効化によって動作しないプラグインが存在する場合には、除外プラグインのリストにプラグイン名を追加してください。有効になっているプラグインのリストから追加することができます。
デフォルトはOFFです。

更新通知

更新通知は、WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は24時間毎に実行されます。
デフォルトはOFFです。

更新通知は以下の内容のメールが送信されます。

WAFチューニングサポート

WAFチューニングサポートは、WebサーバーにJP-Secure製のWAF（SiteGuard Lite）が導入されている場合に、WordPress内での誤検知（正常なアクセスなのに、403エラーが発生する等）を回避するためのルールを作成する機能です。
デフォルトはOFFです。

詳細設定

詳細設定は、IPアドレスの取得方法を設定します。
通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。
デフォルトは「リモートアドレス」です。

ログイン履歴

ログイン履歴は、ログイン履歴を確認する画面です。
ログインの状況を、日時、結果、ログイン名、IPアドレス、タイプの項目で表示します。履歴は最大10,000件記錄され、10,000件を超えると古いものから削除されます。

ログイン履歴は以下のように出力されます。

まとめ

「SiteGuard WP Plugin」は、セキュリティーの詳しい知識がなくてもWordPressの管理画面・ログイン画面を簡単に保護することができます。
日本語対応なのでわかりやすく、操作説明のページのリンクも貼ってありますのでとても親切な作りになっています。
セキュリティの対策として「ログインページ変更」「画像認証」「ログイン詳細エラーメッセージの無効化」「ログインロック」「ログインアラート」は設定をONにしておくことをお薦めします。

以上、SiteGuard WP Pluginの使い方について解説しました。