webコンテンツを徹底強化!WordPressサイト制作とプラグイン&テーマ情報・メンテ/エラー対応から、PHP/CSS/javascript、動画・音・イラスト等制作まで扱うコラム
マルチメディアコンテンツ制作読んどけ☆コラム

【wpプラグイン】SiteGuard WP Pluginってどんな風にセキュリティに強くなるの?

      2021/02/16

今回は、サイト乗っ取りとか不正ログインみたいなリスクを減らせそうなワードプレスのプラグインを使ってみます。 利用するのは『SiteGuard WP Plugin』(使いたいときはプラグイン新規追加画面でこの名前をいれます)。

■SiteGuard WP Pluginの主な機能や注意点

■SiteGuard WP Pluginの主な機能

インストールしてみた例です。主要な機能一覧はこんな感じで出ます。『アクセス制限』や『画像ページ認証』などといったわかりやすいものから、細かくカスタマイズ(機能のON/OFFの切替と、ファイル種類などの除外ルールの登録など・WAFチューニングサポート)できるものまでが入っています。

■『ログインできなくなる』というケースが報告されている

FAQログインできなくなりました。 https://www.jp-secure.com/siteguard_wp_plugin/faq/

プラグイン開発会社の公式サイトにもあるとおり、設定のやりかたしだいでは『ログインできなくなる』という事例が報告されていますので、これは事前に押さえておきたいポイントです。 特に『管理ページアクセス制限』などで出る模様。直接htaccessファイルを書き換えたり、プラグインフォルダからsiteguardカットなど、対処ができます。

■SiteGuard WP Pluginの各機能がどんな働きをしているか検証

ここでは、SiteGuard WP Pluginが実際にガードした挙動を見て、どのようにセキュリティに強くなるのかをチェックしてみます。全部機能ではないですが、主に使われそうなものをピックアップします。

■ログインページ変更で、複雑なurl&wp-login.phpで404返す

ワードプレスは構造上ログインページの形式やurlがバレやすい(wp-login.php)ので、『ランダムな数字が入ったログインページ』にして、場所をわかりにくくします。

また、いつものログインページ『ドメイン○○○○/wp-login.php』で入ったときには404ステータスコード(ファイル・ページがありません)を返してくれます。

■画像認証

ネットのログインフォームでよくある、画像認証を搭載することもできます。おそらく数年後には、ハッキンググループやスパム流してる集団が、かんたんなひらがな画像認証を突破できるAIを開発できるようになるかもしれないので、それまでは効果があります。

■ログインロックで、総当り攻撃を耐え切る

ネット銀行などでも使われる機能です。ここでは『30秒間に3回、ログイン失敗したら、5分間ログインロック』という設定をしました。この回数を超えると、画像のようにロックがかかって入れなくなります。

簡単なパスだと、文字列を何回も組み合わせを変えてやっていると、突破される可能性があります(ブルートフォース攻撃など)。しかしここで止めてしまえれば(&そのときの不正なアクセスを検知できれば)、入られるまえに対策できそうです。

■ログインアラートで、ログインがあったときはメール通知

これはログインがあったことをメールでお知らせする機能です。自分・または他の作業者がログインしてメールが来る場合は問題ありません。『自分がログインしてない・しかも他の人にサイトの変更を頼んでないのに、ログイン通知が来た』などの場合は、『入られたかも』と察知することができます。

■あとがき・まとめ

  • ログインできなくなるケースを押さえておく
  • ログインページ変更・ロック・アラートなどである程度の攻撃は耐えられそう
  • これだけで100%安全ではないので、複雑パスワードやパーミッションなども組み合わせる
  • また、本体やプラグインで、あまり古すぎるのは使わない(脆弱性が修正されてないことがある)

といったところでしょうか。設定自体はわりとカンタンなので、ワードプレスのセキュリティ力を上げたいときは、取り入れたいプラグインです。


【カテゴリ】 - WordPressプラグイン情報
【タグ】 -

  関連記事

【WordPress】WP-Membersプラグインによる、会員向けコンテンツサイトの構築(カスタマイズ必須?)

今回は、現在管理人が検討している(まだ実装はしません)『WP-M ...

フロントの『aioseo-admin-bar-css』を出力しないようにしたい→ログイン時のみ出るようになっているので大丈夫です

今回はAll_in_One_SEO(WordPressプラグイン ...

管理画面からFTP操作『WP File Manager』~過去の脆弱性ver・機能・使用例(テーマ消えないなど)の紹介

今回はWordPressプラグイン情報です。都合によりFTPが使 ...

WordPressで車販売サイトが作れる『Car Dealer, Classifieds & Listing』・英語なのでネックも

今回は、もはや何でもある感じのWordPressプラグインで、『 ...

functions.phpエディットできない(orテーマファイル変更しない)場合の機能追加は?→Code Snippetsプラグインで

今回は、環境のせいで、WordPressのfunctions.p ...

車・不動産・カタログなどに使えそう!WordPressコンタクトフォームにidやタイトルを渡して自動挿入させる方法

今回は、管理人が以前、お仕事でサイトを作ったときに使ったカスタマ ...

【WPプラグイン】Smart Custom FieldsとCustom Field Bulk Editorは相性悪い?(空リンク・真偽値フィールドに文字)

今回は、管理人がカスタムフィールド系の案件で使っているプラグイン ...