2017/09/14

WordPress大丈夫!?セキュリティ対策プラグイン「SiteGuard WP Plugin」

 

この記事を書いている人 - WRITER -
ぶるろまん
フリーランサーを目指す希望高き40代MENS。記事は極めて"バカまじめ"に書いています。Webマーケティングは無限大!万歳!!

つり橋を叩いて渡るタイプの少し頼りないぶるろまんです(笑)

 

あなたのWordPress、セキュリティ対策されていますか?(SECOMちゃうよw)

 

昨今パスワードや指紋認証、顔認証、虹彩認証などセキュリティ対策も、技術は進化し続けています。

 

こういったセキュリティ対策に需要があるということは?そう。悪意あるハッカーが絶えないから。

 

あなたの血と涙の結晶であるWordPressが、不正アクセスで侵入されて

データを破壊されたり…

ドメインを乗っ取られたり…

プログラムを仕込まれたり…

非常に恐ろしいですよね。資産が一瞬で消えてしまったら…。

 

こんな事が無いように、事前に安全な対策をしておこうよ!ってテーマをお届けします。

 

ただWordPress初心者は『セキュリティ対策』というと、何だか難しい設定しなきゃってイメージを持たれますよね。

 

大丈夫!

 

初心者でも、簡単で万全にセキュリティ対策できるプラグインがありますので、一緒に設定していきましょう。

 

Sponsored Link

不正アクセスってどんな悪質な手口なのか?

不正アクセスってどんな悪質な手口なのか?

不正アクセスは、どういった手口で攻撃してくるのか?

このあらゆる方法を知っておきましょう。もうね、驚愕ですよ!気をつけて!!

 

1. ブルートレインフォースアタック(総当たり攻撃)

こんなキッチリ名前がある事にもびっくりしましたが…。

ブラックなツールやソフトを使い、IDやパスワードをログイン出来るまで何度も解析を繰り返しながら試行してきます。

使われているツールは様々でしょうけど、数秒で何通りもの組み合わせを解析してしまうと言われています。

 

世も末。マトリックスの世界ですよ!

 

2. リスト攻撃

ハッカーが、あらかじめ入手しているIDやパスワードでログインを試みる手法。入手先は不明ですけど、実際に使用されているID、パスワードですので・・危険であることは間違いなし!

 

3. セッションハイジャック

乗っ取りからの『なりすまし』によって、不正にデータ情報や通信履歴などを傍受するといった、極めて悪質な方法。

 

4. ウィルス攻撃

この方法は様々です。代表的なのは、ウィルス感染から情報を抜き出し、いとも簡単にログインするという、恐ろしい攻撃。

 

5. DDoS攻撃

不正ログインに成功した後の話。相手は、大量数のパソコンから大量のデータをサーバーへ送り込み、負荷による停止状態に落とし入れるもの。

 

恐ろしい…。

もうね、ホンマのイタチごっこ。

 

でもそうは言ってられないでしょ!?こんな不正アクセスの数々を見たら。

僕がオススメするセキュリティ対策プラグインは一択!

 

WordPressセキュリティ対策プラグイン「SiteGuard WP Plugin」

WordPressセキュリティ対策プラグイン「SiteGuard WP Plugin」

最初に言っておきますが、セキュリティレベル最上位ではないです。

ですが、無料なうえに数々の安全対策は施されていて『設定が簡単』な部分がウリ

 

WordPress初心者は、「まずコレ!」とオススメできる優れものプラグインと言っていいです。

 

Sponsored Link

SiteGuard WP Pluginをインストールしよう!

SiteGuard WP Pluginをインストールしよう

実際にプラグインSiteGuard WP Pluginをインストールしましょう。

 

SiteGuard WP Plugin2

画像解説


①WordPress管理画面の「プラグイン」をクリック。

②下メニューにある「新規追加」をクリック。

③プラグイン名検索キーワードへ「SiteGuard WP Plugin」と入力。

④SiteGuard WP Pluginを「今すぐインストール」でインストール完了。

インストール完了後、「有効化」をクリックしましょう。

 

 

画像解説


WordPress管理画面に「SiteGuard」とあるので、マウスオン。すると、右にメニューが表示されるので、「ダッシュボード」をクリックします。

 

 

 

「SiteGuard WP Plugin」ダッシュボードの設定方法

SiteGuard WP Plugin9

ダッシュボードのデフォルト画面。ここから9つのセキュリティーを細かく設定できますので、1つずつ解説していきます。

 

管理ページアクセス制限

推奨:ON

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。

ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを404(Not Found)で返します。

ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。

24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

WordPress管理画面のURL「http(s):あなたのドメイン/wp-admin/」ですが、ここへの不正ログインを防止する。一番推奨できるセキュリティー設定ですね。

 

ログインページ変更

推奨:ON

ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。

ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

WordPressのログインページのURLは「http://ドメイン/wp-login.php」ですが、このURL自体を変更します。変更後は「http://ドメイン/login_●●●●●」(●は5ケタ数字)

万が一、この5ケタ数字を忘れてしまいログインできなくなった場合。以下フォーラムを参照してみてください。書き留めておくのが一番ですね。

 

Sponsored Link

画像認証

推奨:ON

ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。

画像認証の文字は、ひらがなと英数字が選択できます。

WordPressログイン画面は、通常ユーザー名・パスワードのみですけど、ひらがな入力を追加します。スパム対策ですね。

 

ログイン詳細エラーメッセージの無効化

推奨:ON

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。

ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログインエラーメッセージは通常、原因をきちんと究明するメッセージでくれます。が、このセキュリティーは「すべてのエラーメッセージが同じ」で表示。

本来のログインエラーが分からなくなるってわけ。すげえ!

 

ログインロック

推奨:ON

ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。

特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。

ユーザーアカウント毎のロックは行いません。

指定回数でログインできないとロックをかけるセキュリティー。これも必要ですね。

 

ログインアラート

推奨:ON

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。

ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。

管理画面にログインしたアラートを知らせてくれるセキュリティー。あなた以外にログインしていないのに通知が!?すばやく異常に気付けます。

 

フェールワンス

推奨:OFF

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。

5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

正しいログイン方法であっても、1度必ず失敗するというセキュリティー。これはさすがに面倒。外していても良いかなと。

 

XMLRPC防御

推奨:ON

Pingback機能を無効化する、あるいはXMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。

XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には本機能を使わないでください。

ウェブサイト内に、訳の分からないリンクが貼られないようにするセキュリティー。サーバーダウンを狙った攻撃。Pingbackへチェックを入れて、ONにしましょう。

 

更新通知

推奨:ON

セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

プラグイン自体の更新通知。これはありがたい。常に最新のプラグインで強力なセキュリティーを維持できますよね。

 

WAFチューニングサポート

推奨:OFF

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。

WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。

除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

このセキュリティーは、プラグイン開発元「JP-Secure」が提供しているWAFというサービスの付加設定機能セキュリティー。

WAFがなければOFFで。

 

Sponsored Link

 

まとめ

WordPressセキュリティーは大事。

だって、一瞬にして何年もの年月で資産にしてきたブログやウェブサイトが『無くなる』事だってあるわけだから。

 

設定を説明してきましたけど、簡単だったでしょ??

 

セキュリティー対策がまだなら、ぜひ活用してくださいね!

 

この記事を書いている人 - WRITER -
ぶるろまん
フリーランサーを目指す希望高き40代MENS。記事は極めて"バカまじめ"に書いています。Webマーケティングは無限大!万歳!!
 

  関連記事 - Related Posts -

 

  最新記事 - New Posts -

 

- Comments -

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA