「SiteGuard WP Plugin」のインストール後にすべきこと

あいさつ

こんにちは、オサカナです。

WordPressのセキュリティ対策ができる必須プラグインに「SiteGuard WP Plugin」があります。管理ページ、ログインページを攻撃から保護してくれるWordPressのセキュリティ対策プラグインです。

インストール時のそのままの設定でも十分効果が期待できますが、さらに効果を上げるために設定すべき内容について解説します。

ウェブサイトセキュリティの専門企業である「株式会社ジェイピー・セキュア(JP-Secure)」さんが開発・提供している国産のWordPressのプラグインです。

次のような機能があります。他にもありますが、軽く見ただけで非常に効果があるということが分かります。

NO	機能名	説明
1	管理ページIPフィルター	ログインしていないIPアドレスからの管理ページ「/wp-admin/」へのアクセスを遮断する機能。例えば、WordPressにセキュリテイホールが見つかり、ログインしなくても管理者画面にアクセスできることがあったとしても、その不正アクセスを防ぐことができます。
2	ログインページ名変更	WordPressのログインページ「wp-login.php」のファイル名を変更する機能。ログインページ名を変えることで、ボットによる”機械的な”攻撃を防ぐことができます。
3	画像認証	コメントにCAPTCHA¹をつけ、攻撃やスパムを防止する機能。ボットによる”機械的な”攻撃を防ぐことができます。
4	ログインロック	ログイン失敗した回数に応じてそのIPアドレスをブロックする機能。ボットによる”機械的な” 攻撃を防ぐことができます。
5	ログインアラート	ログインするとログインユーザーのメールアドレス宛にメールが送信する機能。もしログインされても身に覚えのないログインに気づける。

インストール後にプラグインを「有効化」すると・・・

すぐにログインページのURLが変更され、メールで変更後のリンクが送付されます。

最初からある程度の設定はされていて、それだけでもセキュリテイ対策の効果が期待できます。

そのままの設定でも十分すぎる効果があると思いますが、ログインページにアクセスさせないことで、さらに強固なものにできます。ポイントとしては、せっかくログインページ名を変更しても、ログインページへアクセスできる口が残っていたとしたら、その効果が下がってしまいます。

ファイル名を変更しても、サイドバーにあるメタ情報から、ログインページへアクセスできてしまったら、あまり意味がありません。メタ情報自体が、不要なリンクだったりするので、この際、まとめて消してしまいましょう。

これでサイドバーからログインページへのアクセスは出来なくなりました。

サイドバーからログインページのリンクをなくしただけでは、簡単にログインページが特定できるため、次の設定をして、ログインページそのものがどこにあるかわからなくしてしまいましょう。

変更後のログインページ名はデフォルトでは「login_5桁数字」ですが、99,999回の総当たりすればログインページを特定されてしまうため、1文字でも変更するだけで特定が困難になります。

ログインしていない状態で管理ページ「/wp-admin/」にアクセスするとログインページへ転送されてしまうため、すぐ特定されてしまいます。そのため「管理者ページからログインページへリダイレクトしない」はチェックし、ログインページへの転送を防止してください。

これでログインページが特定不可能になりました。（私のレベルでは特定できません。。。）

今回は、大きく２点を解説しました。

昨今、巧妙な攻撃が増えている中、セキュリティ対策をしてしすぎると言うことはありません。ブログ運営をするからにはセキュリティへの意識を高め、実際に対策し、サイト改変や乗っ取りから守りましょう。

非常に良いプラグインを提供している「株式会社ジェイピー・セキュア(JP-Secure)」さんには感謝ですね！