【wpプラグイン】SiteGuard WP Pluginってどんな風にセキュリティに強くなるの?

更新: 2021/02/16 1841文字

今回は、サイト乗っ取りとか不正ログインみたいなリスクを減らせそうなワードプレスのプラグインを使ってみます。 利用するのは『SiteGuard WP Plugin』(使いたいときはプラグイン新規追加画面でこの名前をいれます)。

■SiteGuard WP Pluginの主な機能や注意点

■SiteGuard WP Pluginの主な機能

インストールしてみた例です。主要な機能一覧はこんな感じで出ます。『アクセス制限』や『画像ページ認証』などといったわかりやすいものから、細かくカスタマイズ(機能のON/OFFの切替と、ファイル種類などの除外ルールの登録など・WAFチューニングサポート)できるものまでが入っています。

■『ログインできなくなる』というケースが報告されている

FAQログインできなくなりました。 https://www.jp-secure.com/siteguard_wp_plugin/faq/

プラグイン開発会社の公式サイトにもあるとおり、設定のやりかたしだいでは『ログインできなくなる』という事例が報告されていますので、これは事前に押さえておきたいポイントです。 特に『管理ページアクセス制限』などで出る模様。直接htaccessファイルを書き換えたり、プラグインフォルダからsiteguardカットなど、対処ができます。

■SiteGuard WP Pluginの各機能がどんな働きをしているか検証

ここでは、SiteGuard WP Pluginが実際にガードした挙動を見て、どのようにセキュリティに強くなるのかをチェックしてみます。全部機能ではないですが、主に使われそうなものをピックアップします。

■ログインページ変更で、複雑なurl&wp-login.phpで404返す

ワードプレスは構造上ログインページの形式やurlがバレやすい(wp-login.php)ので、『ランダムな数字が入ったログインページ』にして、場所をわかりにくくします。

また、いつものログインページ『ドメイン○○○○/wp-login.php』で入ったときには404ステータスコード(ファイル・ページがありません)を返してくれます。

■画像認証

ネットのログインフォームでよくある、画像認証を搭載することもできます。おそらく数年後には、ハッキンググループやスパム流してる集団が、かんたんなひらがな画像認証を突破できるAIを開発できるようになるかもしれないので、それまでは効果があります。

■ログインロックで、総当り攻撃を耐え切る

ネット銀行などでも使われる機能です。ここでは『30秒間に3回、ログイン失敗したら、5分間ログインロック』という設定をしました。この回数を超えると、画像のようにロックがかかって入れなくなります。

簡単なパスだと、文字列を何回も組み合わせを変えてやっていると、突破される可能性があります(ブルートフォース攻撃など)。しかしここで止めてしまえれば(&そのときの不正なアクセスを検知できれば)、入られるまえに対策できそうです。

■ログインアラートで、ログインがあったときはメール通知

これはログインがあったことをメールでお知らせする機能です。自分・または他の作業者がログインしてメールが来る場合は問題ありません。『自分がログインしてない・しかも他の人にサイトの変更を頼んでないのに、ログイン通知が来た』などの場合は、『入られたかも』と察知することができます。

■あとがき・まとめ

  • ログインできなくなるケースを押さえておく
  • ログインページ変更・ロック・アラートなどである程度の攻撃は耐えられそう
  • これだけで100%安全ではないので、複雑パスワードやパーミッションなども組み合わせる
  • また、本体やプラグインで、あまり古すぎるのは使わない(脆弱性が修正されてないことがある)

といったところでしょうか。設定自体はわりとカンタンなので、ワードプレスのセキュリティ力を上げたいときは、取り入れたいプラグインです。

WordPressサイト制作&リニューアル・機能開発サービス | アトリエSS


【カテゴリ】- WordPressプラグイン情報
【タグ】-

関連記事

【wordpress限界高速化】Pjax技術を使ってサイトを高速表示するプラグインと、エラーの対処
WordPressで車販売サイトが作れる『Car Dealer, Classifieds & Listing』・英語なのでネックも
【WordPress】WP-Membersプラグインによる、会員向けコンテンツサイトの構築(カスタマイズ必須?)
【WordPress&GitHub連動】WP Pusherプラグインで、テーマやプラグインをGitHubリポジトリから更新してみる
WordPressで絵や動画・オーディオのダウンロード販売しよう~Easy Digital Downloads使い方
ワードプレスサイトを、プラグインでサクッとSSL化する方法
【WPプラグイン無しでサイト構築&表示を速く】Really Simple SSLって無効化して大丈夫?→設定しとけば大丈夫、ただし混在に注意
WordPressのリビジョンを、プラグインで制御する方法(revision control)【データベースを軽く】
【WordPress高速化プラグイン】Speed Up-JavaScript To Footerで、表示速度を速くする方法
【WPプラグイン】PDFで、WordPressを電子書籍風にできる『PDF light viewer』
【PHPでwpプラグインを改造】all in one seoで、og:descriptionを書かなかったときに、文章が全部出力されてしまうのを直したい
【WPプラグイン】WordPress5.0以降のブロックエディタ使いたくない場合→Classic Editorプラグインで旧エディタに戻して記事を書こう