WordPressプラグイン【SiteGuard WP Plugin】の使い方!不正ログインやサイトを強力保護するサイトガードの設定方法

副業ブログ編

WordPressプラグイン【SiteGuard WP Plugin】の使い方!不正ログインやサイトを強力保護するサイトガードの設定方法

このコラムでは『WordPressプラグイン【SiteGuard WP Plugin】の使い方!不正ログインやサイトを強力保護するサイトガードの設定方法』について解説します!

悩み男性
悩み男性
・不正ログインされるのが心配…
・サイトを強力に保護するプラグインある?
・SiteGuardの設定方法が知りたい!

そんな人向けにWordPressプラグインで超簡単に不正ログインを防ぎ、WordPressブログサイトを強力に保護する方法を説明していきます!

  • 『SiteGuard WP Plugin』とは?
  • 『SiteGuard WP Plugin』のインストール方法
  • 『SiteGuard WP Plugin』の設定方法

これらを順に解説します!

スポンサーリンク

『SiteGuard WP Plugin』とは?

SiteGuard WP Pluginとは?

SiteGuard WP Plugin(サイトガードワードプレスプラグイン)とは、ログイン画面から不正アクセスを防ぎ、悪質な不正ログインから守るための必須プラグインです!

例えばどんな機能があるの?

・画像認証機能
・ログイン画面URLの変更
・ログインでメール通知
・ログイン履歴の閲覧
・パスワードロック機能
・他にも多数!

確実に入れておくべきプラグインです!

何故なら不正アクセスを一度でも許してしまうと、折角作り上げたブログが乗っ取られてしまうためです。

そうならないためには、強力に保護ができるプラグイン「SiteGuard WP Plugin」で、サイト運営者として必ず予防と対策をしておくべきです!

世の中は悪い人ばかりではありませんが、中には完成されたブログを乗っ取ろうとするアンダーグラウンドな人が確実にいます。
それは日本だけではなくインターネットが繋がっているなら世界中の悪い人があなたのサイトを今も狙っているかもしれません。

例えば?

WordPressブログのログイン画面のURLは、設定を変えなければ誰もが「https://ドメイン名/wp-admin/」から始まります。
もしログインIDがデフォルトのままなら、ログイン画面のURLとIDまで公表しているようなものです!

最後にパスワード回数ロックがかかっていない剥き出しのパスワードを何度も試してスグにログインが突破されてしまうでしょう。

WordPress初期設定はシンプルがゆえに、最初のセキュリティーは弱いのです!
そこでサイトを強力に保護する「SiteGuard WP Plugin」の出番というわけです!

『SiteGuard WP Plugin』の追加・導入方法

ではWordPressブログの「SiteGuard WP Plugin」導入する方法を解説します!


まずは、ワードプレスのトップ画面を開きます。


左側にあるメニューから「プラグイン」→「新規追加」をクリックします!


検索窓に【SiteGuard WP Plugin】と入力します!


するとプラグインの表示欄に『SiteGuard WP Plugin』が表示されたと思います。
「インストール」をクリックします!


「インストール」が完了したら『有効化』をクリックします。


これで『SiteGuard WP Plugin』の導入が完了しました!

『SiteGuard WP Plugin』の設定方法

SiteGuard WP Pluginの設定

SiteGuardの設定は、自分がどんな風にセキュリティー強化したかによって変わってきます!

設定をオススメ5つにまとめると下記になります!

  • SiteGuard設定②ログインページ変更
  • SiteGuard設定③画像認証
  • SiteGuard設定④ログイン詳細エラーメッセージの無効化
  • SiteGuard設定⑤ログインロック
  • SiteGuard設定⑦フェールワンス

次に「SiteGuard WP Plugin」の設定方法を見ていきましょう!


ワードプレスのトップ画面の左側メニューにある「SiteGuard」の中にある『ダッシュボード』をクリックします!

SiteGuard設定①管理ページアクセス制限

SiteGuard設定の「管理ページアクセス制限」とは、今までにログインしたことがない接続元(パソコンやスマホ)からログインしようとすると『404エラーページ』が表示され、不正ログインを防ぐことが可能になります。

接続元の管理はIPアドレスによります。
もし「IPアドレス」について詳しくない方は「管理ページアクセス制限」は『OFF』のままにしておきましょう!


ダッシュボードから「管理ページアクセス制限」を開きます!


初期設定では『OFF』に設定されています。
『ON』にしたら『変更を保存』をクリックします!

管理ページアクセス制限の詳細

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。

ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。

24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

SiteGuard設定②ログインページ変更

SiteGuard設定の「ログインページ変更」とは、ログイン画面のURLを変更するというものです!

これをすることでログインURLの初期設定「https://ドメイン名/wp-admin/」という誰でもログイン画面にアクセスすることができる状態を回避することができます。


「ダッシュボード」の『ログインページ変更』をクリックします!


「ログインページ変更」画面で『ON』にします。
「変更後のログインページ名」のドメインの右側にある「login_赤マーク」部分までが、新しくログインするURLになります。

※ログインページ変更をONに設定したら忘れないように確実にURLをメモしておきましょう!
「ON」にして変更を保存するとこれまでログインしてきたURLは無効化されます。

新しいログインURLをメモしたら『変更を保存』をクリックします!

ログインページ変更の詳細

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

SiteGuard設定③画像認証


SiteGuard設定の「画像認証」とは、上図のようにログイン画面で表示された文字を入力してログインする仕組みです!

これをONにすることで、機械的な不正ログインを防ぐことができます。


ダッシュボードで「画像認証」をクリックします!


SiteGuardを有効化すると画像認証画面でデフォルトで「ON」になっていると思います。

ポイントとして、もし画像認証が「英数字」になっている方は「ひらがな」にすることをオススメします!

「英数字」は世界共通の言語ですが「ひらがな」は日本独自の文字です。
機械的な不正ログインは、「英数字」よりは「ひらがな」のほうがログインされにくくなります。

画像認証の詳細

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は、ひらがなと英数字が選択できます。

SiteGuard設定④ログイン詳細エラーメッセージの無効化


SiteGuard設定の「ログイン詳細エラーメッセージの無効化」とは、上図のように「入力内容を確認の上、もう一度送信してください。」という曖昧な表現にすることで、相手にどの部分で入力が間違っていたのかを分からなくさせるものです。

「IDが違います」
「パスワードが違います」
というようにログインに失敗したときに、どの部分が間違っていたのかが相手に分からなくすると、不正ログインをさせにくくします。


ダッシュボードから「ログイン詳細エラーメッセージの無効化」をクリックします。


初期設定で「ON」になっていると思いますが、もし「OFF」になっている方は「ON」にしましょう!
これで完了です。

IDもパスワードも人的に予測させないために、確実に「ログイン詳細エラーメッセージの無効化」はONにしておきましょう!

ログイン詳細エラーメッセージの無効化の詳細

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

SiteGuard設定⑤ログインロック

SiteGuard設定の「ログインロック」とは、ここで設定した時間内にログイン&ログインエラーを繰り返す端末に、IPアドレスからログイン画面をロックするシステムです。

ログインロックをすることにより、何度もログインに失敗する不正ログイン先からセキュリティー強化することができます。


ダッシュボードから「ログインロック」をクリックしましょう!


ログインロック画面で「OFF」になっている方は「ON」にしましょう!
その他はそのままでOKですが、希望があれば時間や期間などをお好みで設定して「変更を保存」します。

ログインロックの詳細

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。

特に、機械的な攻撃から防御するための機能です。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。

SiteGuard設定⑥ログインアラート

SiteGuard設定の「ログインアラート」とは、ワードプレスにログインされる度にWordPressで設定しておいたメールアドレスに通知メールが送られる機能です。

これによって、自分がログインしていない時にいち早く不正ログインに気づくことが可能になります。

あまりメールを見ない方や、いちいちメールしなくても万全な対策をしているという方は、OFFにしておいて問題ないでしょう!


ダッシュボードから「ログインアラート」をクリックします!


ログインアラート画面で、ログインの度にメールを受け取りたくない方は「OFF」にして「変更を保存」をクリックします。

初期設定では「ON」になっていると思います!
メールを受け取りたい方はそのままの設定でOKです!

ログインアラートの詳細

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。

ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。

サブジェクトとメール本文には、変数が使用できます。
XML-RPCによるアクセスは通知されません。

変数
サイト名:%SITENAME%
ユーザ名:%USERNAME%
日付:%DATE%
時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%

SiteGuard設定⑦フェールワンス

SiteGuard設定の「フェールワンス」とは、ログイン時に正しいログインIDとパスワードを入力して、わざと一度「ログインに失敗しました」と表示させることで、不正ログインしようとしている人に万が一、正しいIDとパスワードをクリアされても、正解だったと分からなくさせることができます。


これを表示させることで、他のSiteGuard設定と組み合わせて超強力なセキュリティー強化をすることができます。


ダッシュボードから「フェールワンス」をクリックします。


フェールワンス設定画面でもし「OFF」になっていたら「ON」にして「変更を保存」をクリックします!

シンプルですがこれでOKです!

フェールワンスの詳細

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。

5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

SiteGuard設定⑧XMLRPC防御

SiteGuard設定の「XMLRPC防御」とは、Pingback機能やXMLRPC機能を無効化する機能です!

Pingback機能とは、リンク元がリンク先に通知する機能です。
XMLRPC機能とは、アプリケーションや外部システムからリモートでブログ投稿や画像アップロードをする際に使われる手順機能です。

ぶっちゃけメチャクチャ説明が難しい部分なので、初期設定のONのままでも大丈夫ですが、XMLRPCのプラグインやアプリが使えなくなることもあるので、不安な方はOFFにしておきましょう!


ダッシュボードから「XMLRPC防御」をクリックします!


希望により「ON/OFF」を切り替えて「変更を保存」をクリックします!

これでOKです!

XMLRPC防御の詳細

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。

XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。

更新通知の設定

SiteGuard設定の「更新通知」とは、ワードプレスでプラグインやテーマ、WordPressの更新があるときにメール通知されるシステムです!

WordPressは逐一、最新の状態をキープすることでセキュリティーが強化されます。
しかしちょくちょくログインするならメール通知は要らないかと思います。


ダッシュボードから「更新通知」をクリックします。


更新通知の希望があればON、希望がなければOFFにして「変更を保存」します!

更新通知の詳細

セキュリティの基本は、常に最新のバージョンを使用することです。

WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

SiteGuard設定⑨WAFチューニングサポート

SiteGuard設定の「WAFチューニングサポート」とは、WAF設定を除外設定するシステムです。


レンタルサーバーには必ずWAF設定というものがあります。
このWAF設定を有効化すると、WordPressの様々な設定中に上図のように「権限がありません」というように誤検知されることがあります。

この誤検知の除外設定をして、権限者が自分であることを設定します。
ややこしい部分なので、もし「403エラー」が出たことがなければそのままでOKです!


ダッシュボードから「WAFチューニングサポート」をクリックします。


設定変更はコチラから詳細を確認できます!

WAFチューニングサポートの詳細

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。

WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。

除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

詳細設定

SiteGuard設定の「詳細設定」とは、IPアドレスの取得方法を設定することができます。
設定はデフォルトのままで大丈夫です!


ダッシュボードから「詳細設定」をクリックします。


詳細設定の画面が表示されます!
設定を変えたい方はコチラ

詳細設定の詳細

IPアドレスの取得方法を設定します。

通常はリモートアドレスを選択してください。

Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。

レベルは、X-Forwarded-Forの値の右端から何番目かを表します。

ログイン履歴

SiteGuard設定の「ログイン履歴」とは、「SiteGuard」をインストールした時点からのログイン履歴を閲覧することができます。

不正ログインの可能性を調べることができます。


ダッシュボードから「ログイン履歴」をクリックします。


ログイン履歴を確認することができます!

ログイン履歴の詳細

ログインの履歴が参照できます。
怪しい履歴がないか確認しましょう。

履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。

WordPressプラグイン「SiteGuard WP Plugin」まとめ

聞きなれないキーワードがたくさんあって少し大変だったと思います!
お疲れさまでした!

これでバッチリ!サイトの安全性が向上しました!

下記コラムでは、WordPressの必須プラグイン・おすすめプラグイン・目的別プラグインを多数まとめてご紹介していますので是非、チェックして下さい!

【副業らいふ】からの3つのお願い

1、ホーム画面追加


2、ブログランキング
ポチっと2つお願いします!

ブログランキング
にほんブログ村 小遣いブログ お金の稼ぎ方・稼ぐ方法へ
にほんブログ村

3、Twitterでシェア
☜この記事が良いなと思ったらポチっとシェアお願いします!

タイトルとURLをコピーしました