【wpプラグイン】SiteGuard WP Pluginってどんな風にセキュリティに強くなるの？

今回は、サイト乗っ取りとか不正ログインみたいなリスクを減らせそうなワードプレスのプラグインを使ってみます。

利用するのは『SiteGuard WP Plugin』（使いたいときはプラグイン新規追加画面でこの名前をいれます）。

■SiteGuard WP Pluginの主な機能や注意点

■SiteGuard WP Pluginの主な機能

インストールしてみた例です。主要な機能一覧はこんな感じで出ます。『アクセス制限』や『画像ページ認証』などといったわかりやすいものから、細かくカスタマイズ（機能のON/OFFの切替と、ファイル種類などの除外ルールの登録など・WAFチューニングサポート）できるものまでが入っています。

■『ログインできなくなる』というケースが報告されている

FAQログインできなくなりました。
https://www.jp-secure.com/siteguard_wp_plugin/faq/

プラグイン開発会社の公式サイトにもあるとおり、設定のやりかたしだいでは『ログインできなくなる』という事例が報告されていますので、これは事前に押さえておきたいポイントです。
特に『管理ページアクセス制限』などで出る模様。直接htaccessファイルを書き換えたり、プラグインフォルダからsiteguardカットなど、対処ができます。

■SiteGuard WP Pluginの各機能がどんな働きをしているか検証

ここでは、SiteGuard WP Pluginが実際にガードした挙動を見て、どのようにセキュリティに強くなるのかをチェックしてみます。全部機能ではないですが、主に使われそうなものをピックアップします。

■ログインページ変更で、複雑なurl＆wp-login.phpで404返す

ワードプレスは構造上ログインページの形式やurlがバレやすい（wp-login.php）ので、『ランダムな数字が入ったログインページ』にして、場所をわかりにくくします。

また、いつものログインページ『ドメイン○○○○/wp-login.php』で入ったときには404ステータスコード（ファイル・ページがありません）を返してくれます。

■画像認証

ネットのログインフォームでよくある、画像認証を搭載することもできます。おそらく数年後には、ハッキンググループやスパム流してる集団が、かんたんなひらがな画像認証を突破できるAIを開発できるようになるかもしれないので、それまでは効果があります。

■ログインロックで、総当り攻撃を耐え切る

ネット銀行などでも使われる機能です。ここでは『３０秒間に３回、ログイン失敗したら、５分間ログインロック』という設定をしました。この回数を超えると、画像のようにロックがかかって入れなくなります。

簡単なパスだと、文字列を何回も組み合わせを変えてやっていると、突破される可能性があります（ブルートフォース攻撃など）。しかしここで止めてしまえれば（&そのときの不正なアクセスを検知できれば）、入られるまえに対策できそうです。

■ログインアラートで、ログインがあったときはメール通知

これはログインがあったことをメールでお知らせする機能です。自分・または他の作業者がログインしてメールが来る場合は問題ありません。『自分がログインしてない・しかも他の人にサイトの変更を頼んでないのに、ログイン通知が来た』などの場合は、『入られたかも』と察知することができます。

■あとがき・まとめ

• ログインできなくなるケースを押さえておく
• ログインページ変更・ロック・アラートなどである程度の攻撃は耐えられそう
• これだけで100%安全ではないので、複雑パスワードやパーミッションなども組み合わせる
• また、本体やプラグインで、あまり古すぎるのは使わない（脆弱性が修正されてないことがある）

といったところでしょうか。設定自体はわりとカンタンなので、ワードプレスのセキュリティ力を上げたいときは、取り入れたいプラグインです。