WordPress設定

SiteGuard WP Plugin セキュリティ対策プラグイン 設定方法と使い方読み終わるまで 2

SiteGuard WP Plugin セキュリティ対策プラグイン 設定方法と使い方 アイキャッチ

ワードプレス(WordPress)のセキュリティ対策プラグイン SiteGuard WP Pluginの設定方法と使い方を解説します。

この記事を見ることで得られるメリット
  • SiteGuard WP Plugin の使い方と詳細な設定方法がわかります

SiteGuard WP Pluginで実現できること

WordPressにSiteGuard WP Pluginを導入するとログイン画面のURLを変更し、不正ログインを防ぐことができます。

他にも、ログイン画面でひらがなの文字列の入力欄を設けることができる等、諸々の不正アクセスを防止できる機能が充実しています。

日本にあるサイバーセキュリティ会社のイー・ガーディアン株式会社が制作しているプラグインなので日本語対応です。

SiteGuard WP Pluginの主な機能

SiteGuard WP Pluginの主な機能は次の通りです。

  • ログインURLの末尾をランダムな数値または任意の文字列に変更
  • ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに「ひらがな」または「英数字」4桁による画像認証を追加
  • 24時間経過後に再ログインが必要にできる ※同一IPの場合は除く
  • ログイン詳細エラーメッセージの無効化
  • 同一IPからの連続したログイン失敗を検出し、当該接続IPからのログインをロックする
  • ログイン時に登録メールアドレスにログイン通知メールを送信
  • フェールワンス:正しいログイン情報を入力しても、1回だけログインを失敗させ、リスト攻撃を防ぐ
  • XMLRPC防御:スマホから記事の編集などができる機能を停止し、DDoS攻撃を防止
  • REST API無効:ログインユーザー名の流出を防止
  • WordPress、テーマ、プラグインの更新通知
  • ログイン履歴:ログインの状況を、日時、結果、ログイン名、IPアドレス、タイプの項目で表示

これらの機能の詳細と設定方法は後述しています。

サイバーセキュリティ会社が手掛けている、セキュリティ対策用のプラグインなので、外見上のデザインや機能を追加する他のプラグインと比較して、専門用語が多く、ある程度サイバーセキュリティの知識がないと機能の詳細が判り難い点が多々ありますが、設定自体は難しくありません。

SiteGuard WP Pluginのインストール方法

SiteGuard WP Plugin プラグインをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面
  1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
  2. 「新規プラグインを追加」をクリックします
  3. 検索ボックスに”SiteGuard WP Plugin ”と入力すると下に検索結果が表示されます
  4. ”SiteGuard WP Plugin”の「今すぐインストール」ボタンをクリックします
    “SiteGuard WP Plugin”のインストール完了画面“SiteGuard WP Plugin”のインストール完了画面

↑SiteGuard WP Plugin のインストールが完了すると有効化ボタンが表示されるのでクリックします。

"SiteGuard WP Plugin"を有効化すると表示されるプラグイン画面“SiteGuard WP Plugin”を有効化すると表示されるプラグイン画面

これでSiteGuard WP Plugin のインストールと有効化は完了です。

有効化と同時にログインページURLが変更される

SiteGuard WP Pluginの有効後に自動でログインページURLが変更されるSiteGuard WP Pluginの有効後に自動でログインページURLが変更される

↑SiteGuard WP Pluginを有効化すると同時にログインページのURLが変更された旨のメッセージが表示されるので、必要であればブックマークします。

通常は「https://ドメイン名/wp-admin/」(wp-login.php)にアクセスすればログイン画面に遷移しますが、プラグイン有効後は自動的に「https://ドメイン名/login_*****」(*は5桁の数字)に自動的に変更されます。

後でログインページ変更設定を無効にすることで元に戻すこともできます。
任意の文字列に変更することも可能です。

ログインページ変更画面内のオプションの”管理者ページからログインページへリダイレクトしない”に✔を付けて、有効化するまでは「https://ドメイン名/wp-admin/」にアクセスするとログイン画面にリダイレクトされるので注意が必要です

SiteGuard WP Pluginの設定

SiteGuard WP Pluginプラグインを有効化するとダッシュボード(管理画面)の設定の中に「SiteGuard」が表示されます↓

SiteGuard WP Pluginプラグインのダッシュボード(管理画面)SiteGuard WP Pluginプラグインのダッシュボード(管理画面)

SiteGuard WP Pluginプラグインの設定画面はダッシュボード(管理画面)の設定の中の「SiteGuard WP Plugin」をクリックします。

SiteGuard WP Pluginの詳細設定

SiteGuard WP Pluginの設定画面には下記の13項目あります。

  • ダッシュボード
  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログイン詳細エラーメッセージの無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRPC制御
  • ユーザー名漏えい防御
  • 更新通知
  • WAFチューニングサポート
  • ログイン履歴

ダッシュボードは各設定へのリンク画面になっています。
ログイン履歴には設定項目はありません。

ダッシュボード

SiteGuard WP Pluginのダッシュボード画面(デフォルト)SiteGuard WP Pluginのダッシュボード画面(デフォルト)

↑設定変更をしていない(デフォルト)状態のダッシュボード画面です。
先頭の✔マークに色が入っていない項目は無効になっています。
デフォルトで無効になっているのは次の4つの機能です。

  • 管理ページアクセス制御
  • フェールワンス
  • ユーザー名漏えい防御
  • WAFチューニングサポート

管理ページアクセス制限

SiteGuard WP Pluginの管理ページアクセス制限画面SiteGuard WP Pluginの管理ページアクセス制限画面

↑この管理ページアクセス制限は当プラグインで最も判り難い機能です。

管理ページへの攻撃を防御する機能で、最初にログインした時のIPアドレスを保持しており、それ以外のIPアドレスからの接続を拒否し、404(存在しないページ)を返す機能です。

つまり、最初にログインしたIPアドレスを記憶しており、それ以外のIPアドレスから接続があった場合は接続拒否する機能です。

.htaccessファイル内のSiteGuard WP Pluginの管理ページアクセス制限記述箇所.htaccessファイル内のSiteGuard WP Pluginの管理ページアクセス制限記述箇所

↑レンタルサーバーの.htaccessファイル内のREMOTE_ADDRを含む行にIPアドレスア記述され、条件に該当する場合のみ、接続を許可する設定が書かれています。

接続元IPアドレスは自分のPCで使っているプロバイダー側のグローバルIPアドレスです。
サーバIPアドレスはレンタルサーバ側のグローバルIPアドレスです。

  • こららの機能の詳細と仕組みはWebサーバ Apacheの見識が必要です
  • 管理ページアクセス制限機能はデフォルトでは無効になっています

ログインページ変更

SiteGuard WP Pluginのログインページ変更画面SiteGuard WP Pluginのログインページ変更画面

↑この画面で機能の有効/無効と、英数字、ハイフン、アンダーバーを使った任意の文字列に変更できます。

オプションの”管理者ページからログインページへリダイレクトしない”の有効化は必須です。

このオプションを有効化しないと、”https://ドメイン名/wp-admin”にアクセスした場合、ログイン画面のURLにリダイレクト(転送)されてしまうため、容易にログインページが表示されてしまい、当機能の意味をなさないからです。

当オプションを有効化すると、ログイン画面にはリダイレクトせずに、トップ画面に遷移するようになります。

画像認証

SiteGuard WP Pluginの画像認証画面SiteGuard WP Pluginの画像認証画面

↑ログイン画面に画像認証を追加し、正しく入力しないとログインできなくなり、不正アクセスやボットからの自動入力を防止できます。

とくに、攻撃者は海外からのアクセスが殆どなので、”ひらがな”にしておくと抑止効果が上がります。

煩わしい場合は無効にすることもできますが、当プラグインを導入するメリットが薄くなります。

個人ブログなどで記事のコメントを受け付けている場合は、コメントページにも画像認証が追加されるのでスパムを防止できます。

ログイン詳細エラーメッセージの無効化

SiteGuard WP Pluginのログイン詳細エラーメッセージの無効化画面SiteGuard WP Pluginのログイン詳細エラーメッセージの無効化画面

↑この機能を有効にすることで、ログイン失敗時のパスワード、ユーザ名、画像認証のどれが正しくなかったのか情報を与えることを抑止できます。

この機能は不正アクセスの抑止力になるので有効にすることをおすすめします。
※デフォルトで有効になっています。

ログインロック

SiteGuard WP Pluginのログインロック画面SiteGuard WP Pluginのログインロック画面

↑ボットを使った総当たりのパスワードアタックに効果を発揮する機能です。

期間と回数は組み合わせて考える必要があります。
例えばデフォルト(初期設定)だと「期間:5秒、回数:3回、ロック時間:1分」となっています。
これは、「5秒間で3回ログインに失敗した場合1分間ログインできない状態にする」という意味です。

とくに、期間の値が重要で、設定した範囲に収まらない場合はロックが発動しません。
なので、30秒以上の遅い攻撃に対しては効果がありません。

それと、同じIPアドレスからというのが発動条件なので、異なるIPアドレスを複数使った攻撃は防ぐことができません。

ログインアラート

SiteGuard WP Pluginのログインアラート画面SiteGuard WP Pluginのログインアラート画面

↑ログイン時にWordPressに登録したメールアドレス宛にメールを送信することで、不正アクセスに気づきやすくする機能です。いわゆるログイン通知です。

SiteGuard WP Pluginの実際のログイン通知メールの内容SiteGuard WP Pluginの実際のログイン通知メールの内容

↑ログインする度に上記の内容のメールが送信されます。
不正アクセスに気づきやすくなるため必須の機能です。

フェールワンス

SiteGuard WP Pluginの"フェールワンス"設定画面SiteGuard WP Pluginの”フェールワンス”設定画面

↑この機能を有効にすることで、入力したパスワードやユーザー名が正しくても、必ず1回目のログインに失敗します。
その後、5秒以降、60秒以内に、もう一度ログインする必要があります。

これは、リストを使用した総当たりのログイン攻撃を防ぐための機能です。

不正アクセスが不安な場合は有効にすることでメリットはありますが、個人情報やクレジットカード番号などが保存されていない個人ブログの場合は、当機能を有効にすると煩わしさのほうが上回り、メリットが薄いです。

どちらにせよ、手間と情報流出時のリスクを天秤にかけて、有効にするか否かを決めることをおすすめします。

フェールワンス機能はデフォルトでは無効になっています

XMLRPC制御

SiteGuard WP Pluginの"XMLRPC制御"設定画面SiteGuard WP Pluginの”XMLRPC制御”設定画面

↑スマホからWordPressにアクセスして記事を編集しない場合、当機能を有効にしたほうがリスクは低下します。

XMLRPCとは、リモートでXML形式を扱う情報通信の規格です。
XMLRPCを有効にしているとセキュリティ脆弱性が増し、サイバー攻撃の踏み台にされる恐れがあるので、当機能を有効にして“XMLRPC無効化”することを強くおすすめします

その場合は、XMLRPCを利用した機能が利用できなくなるリスクがありますが、XMLRPCの脆弱性よりも軽微です。

ピンバックとは、誰かが記事のリンクを貼ると、自分に通知が届く仕組みです。
これも有効にしているとセキュリティリスクが増すので、無効化することをおすすめします。※WordPressの設定からでもピンバック機能の無効化は可能です。

XML-RPC無効化は必須のセキュリティ対策ですが、デフォルトではピンバック無効化になっているので、必ずXML-RPC無効化に変更し、設定を保存してください

ユーザー名漏えい防御

SiteGuard WP Pluginの"ユーザー名漏えい防御"設定画面SiteGuard WP Pluginの”ユーザー名漏えい防御”設定画面

当機能を有効化することでユーザー名が漏洩しなくなるので、不正アクセスの抑止につながります。

REST API無効化のオプションを有効にすると動作しなくなるプラグインもあるので、除外するプラグインを一覧から追加することもできます。

下段の一覧には現在有効化されているプラグインが表示されているので、REST API無効の対象から除外したいプラグインを追加し、上段の一覧に入れることで除外対象にすることができます。

どうしてもユーザー名を特定されたくない場合以外は、とくにメリットが無い機能です。
有効にすることで動作しないプラグインが出てくる場合は、デメリットのほうが多くなるため、基本的には本機能は無効のままで大丈夫です。

ユーザー名漏えい防御機能はデフォルトでは無効になっています

更新通知

SiteGuard WP Pluginの"更新通知"設定画面SiteGuard WP Pluginの”更新通知”設定画面

↑WordPress 、プラグイン、テーマの更新がある場合はメールで通知する機能です。

プラグインを自動更新に設定している場合は、そもそも通知は不要です。
デフォルトでは全て有効になっているので、メール通知が不要な場合は無効化しておくことをおすすめします。

WAFチューニングサポート

SiteGuard WP Pluginの"WAFチューニングサポート"設定画面SiteGuard WP Pluginの”WAFチューニングサポート”設定画面

↑この機能は当プラグイン制作会社製のWAF(SiteGuard Server Edition)を導入している時にしか効果がありません。
なので、エックスサーバー等のレンタルサーバーを使っている場合は、まったく関係のない設定項目なので無効のままで大丈夫です。

WAFチューニングサポート機能はデフォルトでは無効になっています

ログイン履歴

SiteGuard WP Pluginの"ログイン履歴"画面SiteGuard WP Pluginの”ログイン履歴”画面

↑ログイン履歴を一覧で確認できる機能です。いつもと違うIPアドレスでログインがあった場合は不正アクセスの可能性があります。

ただし、グローバルアドレスはプロバイダー側の都合で変化する可能性があります。
なので自身のIPアドレスは下記のサイトを使って都度確認するようにしてください↓
自分が現在インターネットに接続しているグローバルIPアドレス確認

Nginxのエックスサーバーでも利用可能

SiteGuard WP Pluginの動作環境の要件はWebサーバがApacheと書かれています。
エックスサーバーの通常のプランで実装されているWebサーバはNginx(エンジンエックス)です。

ところが、エックスサーバではnginx環境下でも「.htaccess」ファイル編集が可能です。

なので、エックスサーバで、かつWebサーバがApacheではなくnginxだったとしてもSiteGuard WP Pluginが利用できます。

エックスサーバの場合でも、別途設定が必要だったり、余計な手間が発生するわけではありません。無設定、無条件でSiteGuard WP Pluginを利用できます。

ログインできなくなった場合やログインURLが判らなくなった場合

SiteGuard WP Pluginを利用中に、万が一何かしらの要因でログインできなくなった場合は .htaccessファイルの記述を削除することでログインできるようになります。

ログインURLがわからなくなった場合も同様に、.htaccessファイルの記述を確認することでURLがわかります。

レンタルサーバーのエックスサーバを利用している場合は、次の手順になります。
他のレンタルサーバー会社でも同様です。

  1. Xserverのサーバー管理にログイン
  2. ホームページ項目内の.htaccess編集に入る
  3. ドメインを選択して.htaccess編集タブを押す
  4. .htaccessファイル内の#SITEGUARD_PLUGIN_SETTINGS_STARTから#SITEGUARD_PLUGIN_SETTINGS_ENDまでの間の記述を確認する

.htaccessファイル内のログインURL記述箇所

.htaccessファイル内のSiteGuard WP PluginのログインURL記述箇所.htaccessファイル内のSiteGuard WP PluginのログインURL記述箇所

↑このRewriteRule ^login_***** の記述箇所がログインURLです。
なので、それを末尾に付け加えると次のようになります。
https://ドメイン名/login_*****

ログインURLが判らなくなった場合は以上の手順で確認すれば大丈夫です。

ログインできなくなった場合

前述のログインURLが判明していても、ログインできない等、SiteGuard WP Pluginが原因でログイン不可となった場合は.htaccessの記述の#SITEGUARD_PLUGIN_SETTINGS_STARTから#SITEGUARD_PLUGIN_SETTINGS_ENDまでの記述をすべて削除します。

その後、https://ドメイン名/wp-admin にアクセスすればログインできるようになっているはずです。

実際にSiteGuard WP Pluginを使った感想とメリットデメリット

実際にSiteGuard WP Pluginを使ってみた感じたメリットとデメリットです。

SiteGuard WP Pluginのメリット

日本の会社が制作したプラグインなので全て日本語表記で、公式サイトのマニュアルも充実しており、海外製のプラグインよりも信頼性と安心感がありことが大きなメリットです。

SiteGuard WP Pluginのデメリット

プラグインの導入は非常に簡単ですが、初期設定の状態では効果が半減している点と、設定を全て有効にすることで安心を得られますが、逆にログイン時に手間が掛かる点が大きなデメリットです。

とくにフェールワンスと画像認証の組み合わせはログイン時に手間が掛かります。

画像認証の”ひらがな”は日本人でも判別しにくい

SiteGuard WP Pluginの画像認証機能で表示された英数字SiteGuard WP Pluginの画像認証機能で表示された英数字
SiteGuard WP Pluginの画像認証機能で表示された"ひらがな"SiteGuard WP Pluginの画像認証機能で表示された”ひらがな”

画像認証の英数字は見やすくて問題ないのですが、”ひらがな”の色の薄い文字は日本人でも判別し難い時があります。

画像認証の文字が見難い時は、ログインページの表示をリロードすれば画像認証も違う文字に更新されるので、見やすい文字が表示された時に入力してログインすればOKです

フェールワンスは使い難い

SiteGuard WP Pluginのログインロック機能でロックされたログイン画面SiteGuard WP Pluginのログインロック機能でロックされたログイン画面

フェールワンス機能を有効にすると、パスワードやユーザー名を正しく入力しても、必ず1回目はログインに失敗します。
その後、5秒後から60秒以内に、もう一度ログインする必要があり、この条件から逸脱してしまうと、正しい情報を入力してもログインに失敗します。
もしこの時にログインロック機能を有効にしているとロックが掛かってしまい、一定時間経過しないと再ログインできません。

このように、フェールワンス機能を有効にするとログインし辛くなります。
なので、極力当機能は有効にしないで、他の方法、例えばログインパスワードを15桁以上の英数字に記号を混ぜて複雑にしたほうが実用的です。

まとめ

SiteGuard WP Pluginは日本製のプラグインなので安全安心なことがメリットですが、用語が難解で、設定項目の意味が判り辛い箇所がある点がデメリットになります。

管理画面に機能を追加するだけで、利用者側のページには影響を及ぼさないので、ページスピードは低下しません。

注意すべき点は、SiteGuard WP Pluginは初期設定のままだと、最大限に効果を発揮しないことです。

前述していて繰り返しになりますが、ログインページ変更設定オプションの”管理者ページからログインページへリダイレクトしない”の有効化は必須です。
この設定をしないと、容易にログインページにアクセスできてしまうので、ログインページ自体のURLを隠すことができず、効果が半減してしまいます。

それ以外の項目は初期設定のままでも問題なく利用できます。
サポートサイトの説明も日本語なので理解し易く、情報も多いので安心です。

昨今はサイバー攻撃が社会問題にもなっているように、セキュリティ対策は必須です。
個人ブログでも、セキュリティ対策を施していないと、犯罪の踏み台にされ、多大な損害を被る可能性があります。

とくに、WordPressは元々脆弱性が低く、不正アクセスやサイバー攻撃の絶好の対象となっているため、セキュリティ対策は最優先事項です。

レンタルサーバー側のWAFは全項目を有効にするのは当然ですが、
念には念を入れて、個別ドメインのWordPressへの対策も必須です。

個人ブログだと、情報が流出しても問題にならないことも多いのは確かです。
とはいえ、それ以上に厄介なのは、不正アクセスからハッキングされ、ページ改竄やスパムサイトへのリダイレクト設定を埋め込まれたりすると、自分が加害者になっていることに気づくのが遅れ、甚大な被害を被る可能性があります。

もし、そうなると苦労してつくりあげたGoogleからのSEO評価も下がる可能性があるので尚更、注意が必要です。

WordPressへのログインパスワードを定期的に変更したり、英数字と記号を含んだ15桁以上の複雑なパスワードにすることも、地味ですが不正アクセス対策には効果が高いのでおすすめです。