SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のプラグインです。

ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能が搭載されています。画像認証の文字は「ひらがな」と「英数字」から選択できます。ひらがなによる画像認証は、日本語が分からない外国人には突破困難なので、セキュリティ対策として役に立ちます。

このプラグインは日本の企業が開発・運用しています。プラグインの管理画面やオンラインマニュアルが全て日本語表記です。難しい初期設定などはありません。初心者でも安心して利用できます。

ちなみに、このプラグインはレンタルサーバーのCPI(KDDIグループ)、ヘテムル(GMOグループ)でもWordPressのセキュリティ対策のプラグインとして採用されています。運用実績もあり、信頼性が確かなプラグインです。

はじめに

このプラグインが優れている点

  • WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御できる。
  • ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃から防御できる。
  • ブログのコメント欄に大量に投稿されるコメントスパムを受けにくくできる。
  • 画像認証の文字は「ひらがな」と「英数字」が選択できる。
    ひらがなの画像認証は、日本語がわからない外国人にとっては突破困難です。
  • プラグインの管理画面やオンラインマニュアルが全て日本語でわかりやすい。

インストール方法

管理画面から検索してインストールして下さい。
もしくは、WordPress.org からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「SiteGuard WP Plugin」で検索
  2. WordPress.org からダウンロード

使用上の注意点

このプラグインをインストールして有効化すると、自動的にログイン画面のURLが変更されます。プラグインを有効化後に、管理画面の「SiteGuard > ログインページ変更」をクリックして、新しいログインページを確認してブックマークしてください。

また、新しいログイン画面のURLを管理者宛のメールで(メール件名「WordPress: ログインページURLが変更されました」)お知らせしていますので、合わせてご確認ください。

プラグインの使い方

管理画面の場所

プラグインの管理画面は下記の場所にあります。

WordPress管理画面 > SiteGuard

SiteGuard WP Plugin

プラグインの機能一覧

管理ページアクセス制限 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更 ログインページ名を変更します。
画像認証 ログインページ・コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート ログインがあったことをメールで通知します。
フェールワンス 正しい入力を行っても、ログインを一回失敗します。
ピンバック無効化 ピンバックの悪用を防ぎます。
更新通知 WordPress本体・プラグイン・テーマの更新が必要になった場合に、管理者にメールで通知します。
WAFチューニングサポート WAF(SiteGuard Lite)の除外ルールを作成します。

ダッシュボード

プラグインの管理画面のダッシュボードで機能一覧と有効化の状態がわかります。
機能が「ON」になると、チェックリストの画像が「緑色」に変わります。

ダッシュボード

管理ページアクセス制限

WordPressの管理画面(/wp-admin/以降)に対する攻撃から防御するための機能です。

この機能を有効化すると、ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。

管理ページアクセス制限

ログインページ変更

ブルートフォース攻撃、パスワードリスト攻撃等の、不正にログインを試みる攻撃を受けにくくする機能です。

この機能を有効化すると、WordPressのログイン画面(wp-login.php)のURLを変更します。初期値は「login_<5桁の乱数>」ですが、任意のURLに変更することができます。

ログインページ変更

ログイン画面のURL変更例

変更前:http://yourdomain.com/wp-login.php
変更後:http://yourdomain.com/login_<5桁の乱数>

画像認証

「ブルートフォース攻撃」「パスワードリスト攻撃」などの不正にログインを試みる攻撃やコメントスパムを受けにくくするための機能です。

画像認証の文字は「ひらがな」と「英数字」が選択できます。
「ひらがな」による画像認証は、日本語がわからない外国人にとっては突破困難です。

画像認証

ひらがなの画像認証

ひらがなの画像認証

ログイン詳細エラーメッセージの無効化

WordPressのユーザー名を調査する攻撃を受けにくくするための機能です。

この機能を有効化すると、ログインに関するエラーメッセージが全て同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログイン詳細エラーメッセージの無効化

ログインロック

「ブルートフォース攻撃」「パスワードリスト攻撃」などの不正にログインを試みる攻撃を防ぐための機能です。特に、機械的な攻撃から防御するのに役立ちます。

この機能を有効化すると、ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウントごとのロックは行いません。

ログインロック

ログインアラート

不正なログインに気づきやすくするための機能です。

この機能を有効化すると、管理画面にログインすると、ログインユーザーに対してメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。尚、XML-RPCによるアクセスは通知されません。

ログインアラート

フェールワンス

パスワードリスト攻撃を受けにくくするための機能です。
この機能を有効化すると、正しいログイン情報を入力しても、1回だけログインを失敗します。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

フェールワンス

ピンバック無効化

この機能を有効化すると、ピンバックを無効化して、ピンバックの悪用を防ぎます。

ピンバック無効化

更新通知

セキュリティの基本は、常に最新のバージョンのWordPressを利用することです。

この機能を有効化すると、WordPress本体・プラグイン・テーマの更新が必要になった場合に、管理者宛にメールで通知します。更新の確認は24時間ごとに実行されます。

更新通知

ログイン履歴

WP管理画面のログインまたはログインエラーの履歴を確認できます。

ちなみに、初期状態はまだ履歴がありません。プラグインを有効化した後からログイン情報が記録されるようになります。

定期的にログイン履歴を確認する必要があります。特に注意する必要がある情報は、ログインの結果が「失敗」や「ロック」となっている履歴です。もし、その履歴がある場合は、あなたのブログに対して、何者かが機械的に不正ログインを試している可能性があります。

その場合は、このプラグインの機能を利用してセキュリティを強化しましょう。

ログインエラーが発生している例

ログイン履歴

公式サイト

このプラグインの更に詳しい使い方については、SiteGuard WP Pluginの公式サイトの情報をご確認ください。

SiteGuard WP Plugin

まとめ

SiteGuard WP Pluginは、WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のプラグインです。

このプラグインは日本の企業が開発・運用しています。プラグインの管理画面やオンラインマニュアルが全て日本語表記です。難しい初期設定などはありません。初心者でも安心して利用できます。非常に使いやすいプラグインなので活用しましょう。