こんにちは「ぐちゃねっと」のGabunomiです。
インストール・使い方と設定方法
画像を見ながら設定出来るようにしているから真似をしてくれたら大丈夫。まずはダッシュボードから、プラグインを押して、プラグイン「新規追加」を押してみよう。
画面右上の「キーワード」プラグインの検索に「SiteGuard WP Plugin」と入力すると検索結果が出るのでインストールを行う。
WordPressのプラグインは必ず此処から「検索」してインストールを行うように今後も覚えておいて欲しい。インストールが完了したら「有効」ボタンを押せばまずは完了だ
セキュリティ設定をしてみよう
実は私が一番伝えたい事は「スマホにメール転送の設定した場合」のことです。上級者には当たり前・簡単な事でも初心者には難しいから解決出来たことを書いている。
なるべく最後まで読んでくれると非常に嬉しい。インストールすると赤印の所に「SiteGuard WP Plugin」があるからクリックする。
次にこんな画面になるがここから設定を行うことが出来る。
出来る内容は以下の通りになる
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- ログイン履歴
このプラグイン1つで非常に簡単にセキュリティーの強化を図る事が出来る。
「管理ページアクセス制限」は一般的には設定しな方が良いと思う
「貴方のドメイン/wp-admin/」を自動で「login_<5桁の乱数>」に替えてくれるのだが、ここは設定しなくても「自分で決められる」のでやめておいたほうが良い。
ここをチェックすると自分の登録メールに「自動作製されたアドレス」を「SiteGuard WP Plugin」から送信してくれる
しかし設定を急いでいる場合やメールアドレスの記入間違いなのでトラブルで一時的にメールの受信が出来なかった場合、最悪ログイン出来なくなる。
だから次のログインページ変更でアドレスURLを変えれば良いので、ここは「まずはOFF」にしておこう。
ログインURLの変更は大事なセキュリティUP
「SiteGuard WP Plugin」で一番メインのポイントだと思う大切な場所。基本的なログインアドレスは
- example.com/wp-login.php
- example.com/wp-admin/
がWordpressを使う人達に与えられた「初期のログインアドレス」
初期ログインアドレスを使っている限りは「ログイン名」と「パスワード」が判れば誰でもブログなりに侵入できてしまう。
まずはそんな「初期アドレス」を自分で変更しましょう!という設定画面になる。
単純なadminアタックを防げ
この画像では「変更後のアドレス」はセキュリティーのために消しているが「login_<5桁の乱数>」を自分で設定できるので「必ず設定」すること。
数字だけで無く「英数」が使えるのでなるべく「複雑」にしてほしい。
URLアドレスの変更はセキュリティーUPの第一歩
世界中には「初期アドレスの人が沢山いる」からこの初期アドレスを変更しておくだけでも、単純なadminアタックを防ぐことができて、セキュリティ的にはレベルが上がる。
ログインするのが面倒なサイトよりも「簡単なサイト」を狙う方が効率が良いから必ず変更しよう。
ただし変更した「URLアドレス」は必ず記録しておかないと自分がログイン出来なくなるから十分に注意してほしい。
画像認証を設定「ひらがな」はセキュリティに強い
ここはやはり、日本ガラパゴスを絶対に使いたい。日本ガラパゴスとは「ひらがな」のこと。セキュリティ的には実は最強なのでは?と思っている。
英語圏の人達にはかなり難しい字体だしプログラム的にも面倒な文字だと思う。私は素人だけどいつもそう感じている。
これでよい。
ログイン詳細エラーメッセージの無効化をする
この意味合いは例えば、ログインを失敗した時に出すメッセージは同じ内容で表示する!というもの。
不正侵入者にヒントや情報を与えない
ログインが出来ない原因はなんだったのか?を教えてくれる設定だが不正侵入者には情報を与える事になる。
- ログイン名が違います(パスワードと画像は合っている)
- パスワードが違います(ログイン名と画像は合っている)
- 画像認証が違います(ログイン名とパスワード合っている)
確かに自分がログインする時に間違ってしまった時には「あぁパスワードを間違えたか…」で済むが「不正ログイン」を試みている相手には情報を与えてしまう事になる。
成る程「ログイン名は合っているのか…あとはパスワードだけだな…」なんてね。この設定は「ON」にしておくべき。
ログインロックで時間稼ぎ
正直この設定をしたとしても「不正ログイン」に対する時間稼ぎにしかならないと思う。ログインを連続で間違うとロックを行いますか?の設定
公式では「機械的な攻撃から防御するための機能です」と記載があるようにプログラム攻撃には相当なガードになると考えれるから「必ずON」をするべき。
ログインアラートのメール転送時に通知設定を変更
ここは非常に大切な設定だ。ログインをした場合「登録したメール」にログインがあったことを即時に教えてくれる。
しかしスマホ等にメール受信する場合は設定を少し変えた方がよい。ログイン情報をメール転送していればスマホで管理できるから便利だが全ての情報が記載され転送されるので気をつけて欲しい。
この設定は
- 運営ブログ名
- ログインしたIPアドレス等が記載されてメールに転送されてくる。
メール転送時にはログイン名などを消す設定にしておく
- サブジェクトの欄には「自分のサイト名」
- メール本文には「自分のサイト名」に何時何分ログインしたか
- ユーザーエージェントには大切な「ログイン名」が記載されている。
何を意味するかというと、いくらログインURLと投稿者を変更していても「権限者」と「ログイン名」を全て記載されたメールが届くわけだ。
不必要な情報はメールに記載されないように設定する
仮にスマホを落とすなどの「紛失」があった場合にはログインに必要な事が全てメールに記載されているから一大事になる。だからこの部分は画像のように必要が無い所を消してみた。
この設定によりメール転送時に記載される情報は
- ブログにログインがありました(運営ブログ名を出さない)
- 何時何分ログインしたか
- ログインしたIPアドレスの情報
のみになる。ひっそりとブログ運営などをしている場合は人に知られたくない場合もあるだろう。必ず設定して欲しい場所です。
フェールワンス XMLRPC防御の設定
これは初期値で良いと思う。正しいログインが出来ても「間違ってるぞ」って設定だから。セキュリティー的には実は凄いことだろうね。
なにせ「ログインが正しくても違う・間違っている」と情報をだすのだから。
レンタルサーバーのエックスサーバー
なら実は基本的にセキュリティーを高く設定してくれているから本当に安心できる。
更新通知の設定・インストール済みプラグインがアップデート時にお知らせ
ここは全部かならず「ON」にする。Wordpress本体のアップデートも大事だが「プラグインが古い」とセキュリティーホールにもなる。
ですから「すべてON」にしておき、必要なアップデートを行おう。この機能を使っているとメールにアップデート情報を送信してくれるので本当に助かる。
WAFチューニングサポートと詳細設定
ここは専門的な所だが個人使用では特に何かをする必要はないと思う。個人的にはこの画像のようにしている。
エックスサーバーならこの設定も不要だと思う。
ログイン履歴でadminアタックを受けていないかを確認
ログイン履歴は
- ログイン日時
- ログインの結果
- ログイン名
- IPアドレス
などの情報が残っている。この履歴から「不正ログイン」が行われていないか定期的にチェックをするように心掛けよう。
初期アドレスは絶対に危険だから変更するように
adminアタックや攻撃を受けていないかログで確認する事は大切だ。あと「初期のログインアドレス」の場合には「自動プログラム」でログインアタックが多く行われているとの話も良く聞く。
- example.com/wp-login.php
- example.com/wp-admin/
もう一度書くが「初期アドレス」のままは本当に危険だ。ここだけでも本気で直ぐに変えた方が良いので気をつけてほしい。
まとめ「鉄板のセキュリティプラグイン」だ
不正ログインを防ぐには高度な設定をする必要はないかもしれない。定期的なセキュリティーを保つ為には
- 定期的なログインページの変更
- 定期的なログイン名の変更
- 定期的なパスワードの変更
- 部外者に自分のサイトを知られないようにするメール設定(IDなど)
- 定期的なバックアップ
などが大切だろう。しかし大部分のセキュリティーを「SiteGuard WP Plugin」は無料提供してくれている事に感謝する。絶対に入れておく「鉄板のプラグイン」です。
コメント