SiteGuardで簡単にセキュリティ対策！

「SiteGuard WP Plugin」というWordpress用のセキュリティプラグインを使うことにより、セキュリティの知識があまりない方でもセキュリティを強化することが出来ます。

このプラグイン、機能を理解して使うとかなり優秀なのでおすすめです！

サイトガードの魅力は、ブルートフォースアタック対策に特化している点です。
ブルートフォースアタックとは、考えられる全てのパターンのログイン名とパスワードを試して総当り攻撃してくる手法のことを言います。

プログラムされたコンピューターが行っている場合がほとんどで、かなり力ずくの攻撃ですが、短時間にログインエラーが多発するとロックして守ってくれるのがサイトガードです。

サイトガードのインストール方法

サイトガードのインストール方法は、下記の手順になります。

①ダッシュボードのメニューの中の「プラグイン」をクリック！
②新規追加を選択
③「SiteGuard WP Plugin」で検索してインストール。
④「SiteGuard WP Plugin」を有効化。

サイトガードの機能説明と設定方法

インストールすると、ダッシュボードのメニューに「SiteGuard」が追加されているはずです。
「SiteGuard」をクリックして、必要に応じた設定をしていきましょう。

ログインページ変更

メニュー画面の順番と異なってしまいますが、わかりやすくするために「ログインページ変更」機能から説明していきます。

サイトガードをインストールすると、ログインURLが自動で変更されます。
さらに自分の好きなURLにしたい場合は、「ログインページ変更」画面で変更することができます。

なぜ、ログインURLを変更するかというと、WordpressのデフォルトのログインURLだと、簡単にログインURLを調べられてしまうため、まずは入口であるログインURLが他者にわからないようにすることが必須です！

管理ページアクセス制限

管理ページアクセス制限は、24時間以内にログインしていないIPのアクセスを遮断する機能です。
初期設定ではOFFになっているので、ONに変更しておきましょう。

「管理ページアクセス制限」機能が「OFF」になっていると、先ほどの「ログインページ変更」によってURLが新しくなっている状態でも

という「変更前」 のデフォルトURLにアクセスすると、新しいURLのログインページへ自動でリダイレクトされてしまい、「変更後」のURLを知らなくてもアクセスができてしまうんです。。。

ログインURLを変えた意味がなくなってしまうので、必ず「ON」にしましょう。

ONにしておけば、下記の人以外には「404ページ」を表示してくれます。

除外パスも設定できますので、必要に応じて設定してください。

画像認証

「画像認証」も必須の設定項目です！

不正ログインの大半は海外からの攻撃なので、画像で表示された日本語のひらがなを入力しないとログインできないように設定できます。

ログインページは「ひらがな」に設定して、ONにしておきましょう。

ログインページ以外にも、様々なページに画像認証をするように設定できます。

ログイン詳細エラーメッセージの無効化

この機能をONにすると、ログイン時にどの入力項目が間違えているのかをわからないようにしてくれます。

OFFにしていると「○○が間違っています」と表示されてしまうため、わざわざヒントを出してあげる必要はないので、ONししておくことを推奨します。

ログインロック

ログインロックをONにすると

・設定した期間の中で
・設定回数以上のログイン試行の失敗があったユーザーに対し
・設定したロック時間

そのユーザーのログイン試行を無効化する機能が働きます。

これも出来ればONにしておきたい機能です。

ログインアラート

「ログインアラート」をONにすると、WordPress管理画面へのログインが行われるたびに、WordPressに登録してあるメールアドレスへ通知が届きます。

ログイン頻度が多い人だとちょっと鬱陶しいかもしれませんので、必要に応じてON/OFFの設定をしてください。

フェールワンス

「フェールワンス」をONにすると、正しいログイン情報を入力しても、1回目はログインに失敗するようになります。

5秒以降、60秒以内に再度正しいログイン情報を入力するとログインが成功しますので、セキュリティを強固にしたい場合はONに、ちょっと面倒くさいなぁ･･･という方はOFFでもいいと思います。

XMLRPC防御

これも必須設定です！

XMLRPCとは、外部アプリケーションからWordPressを編集するためのプログラムで、以前はモバイルアプリ等からWordPressの記事を編集するのに使われていました。

現在はREST API（ユーザー名漏洩防御で説明します）に取って代わられており、使用する機会はほとんどありませんが、管理ページへのアタックの踏み台にされる可能性があるため、XMLRPC無効化で設定することをおすすめします。

ユーザー名漏洩防御

ユーザー名漏洩防御も必須項目です。
2021年5月に新たに追加された機能で、ユーザー名を外部に知られないようにする機能です。

WordPress の場合、「サイトのURL/?author=1」などでアクセスするとユーザー名（ログインID）が第三者に容易に把握されてしまいます。
ユーザー名漏えい防御をONにすると、ユーザー名が漏洩するリスクが低減します。

ユーザー名は、WP REST APIでも確認できるようになっており、「WordPressサイトのURL/wp-json/wp/v2/users」にアクセスすると、WordPressに登録されているユーザー情報がJSON形式で表示されてしまいます。

こちらも併せて防ぐために、「REST APIを無効化」にチェックを入れるのも必須です。
こちらにチェックを入れると、WP REST APIにアクセスしてもエラーコードが表示され、情報を取得できないようになります。

WAFチューニングサポート

これ、かなり便利な機能です！

ロリポップやヘテムル、さくらサーバーなどのレンタルサーバーでは、Web Application Firewall（WAF）を導入してます。

上記サーバー等は、このWAFが強力すぎてWordpressの定番プラグインまでも攻撃とみなしてエラーにしてしまうことが多いので、それを防ぐための機能がWAFチューニングサポートになります。

WAFを使ってないサーバーや、操作に特に支障がないサーバーはOFFで大丈夫です。

ロリポップやヘテムル、さくらサーバーなど、WAFの誤認対策をしたい場合はONにして設定しましょう！

IPアドレス取得方法

IPアドレス取得方法を設定できます。
特に問題がない限り、デフォルト設定で大丈夫です。

ログイン履歴

ログイン履歴を見ると、WordPressへのログイン履歴を1万件まで確認できます。

ログイン日時・ログイン結果・ログイン名・IPアドレス・タイプが記録されていますので、ログイン結果「失敗」が短時間で多数発生していたり、タイプが「XMLRPC」になっている場合は、攻撃されている可能性があります。

定期的に不審な操作がないか確認してみてください。