SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressに対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のWordPressプラグインです。

ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能が搭載されています。

画像認証の文字は「ひらがな」と「英数字」から選択できます。ひらがなによる画像認証は、日本語が分からない外国人には突破困難なので、セキュリティ対策として役に立ちます。

このプラグインは日本の企業が開発・運用しています。プラグインの管理画面やオンラインマニュアルが全て日本語表記です。難しい初期設定などはありません。初心者でも安心して利用できます。

はじめに

このプラグインが優れていること

  • WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御できる。
  • ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃から防御できる。
  • ブログのコメントフォーム(コメント欄)をコメントスパムから防御できる。
  • 画像認証の文字は「ひらがな」と「英数字」が選択できる。
    ひらがなの画像認証は、日本語がわからない外国人にとっては突破困難です。
  • プラグインの管理画面やマニュアルが全て日本語でわかりやすい。

大手レンタルサーバーで利用されている

日本

このプラグインは、ロリポップ(GMOグループ)、CPI(KDDIグループ)のレンタルサーバーでもWordPressのセキュリティ対策のプラグインとして採用されています。

大手レンタルサーバーでの運用実績もあり、信頼性が確かな日本製のプラグインです。

信頼性

プラグインが定期的にアップデートされており、安定的に保守が行われています。
サポートフォーラムでも開発者が質問に回答しています。
プラグインの保守は適切に行われているようです。

確認日:2021.05.17

確認できた内容
  • 定期的なアップデートの実績
  • サポートフォーラムの評判
  • プラグインの評価
  • プラグインの利用者数

使用上の注意点

ログイン画面のURLが変更されます

注意

このプラグインをインストールして有効化すると、自動的にログイン画面のURLが変更されます。

プラグインを有効化後に、プラグイン管理画面の「ログインページ変更」をクリックして、新しいログインページを確認してブックマークしてください。

また、新しいログイン画面のURLが管理者のメールアドレス宛に送信されます。合わせてメールの内容をご確認ください。

メール件名「WordPress: ログインページURLが変更されました」

インストール方法

SiteGuard WP Plugin

管理画面から検索してインストールして下さい。
もしくは「wordpress.org」からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「SiteGuard WP Plugin」で検索
  2. 「wordpress.org」からダウンロード

プラグインの使い方

管理画面の場所

プラグインの管理画面は下記の場所にあります。

WordPress管理画面 > SiteGuard

SiteGuard

プラグインの機能一覧

管理ページアクセス制限ログインしていないアクセス(接続元)から管理ディレクトリ「/wp-admin/」を守ります。
ログインページ変更ログインページ名を変更します。
画像認証ログインページ・コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラートログインがあったことをメールで通知します。
フェールワンス正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御XMLRPCの悪用を防ぎます。
ピンバックまたはXMLRPC全体を無効化します。
ユーザー名漏洩防御ユーザー名の漏洩(ろうえい)を防ぎます。
更新通知WordPress本体・プラグイン・テーマの更新が必要になった場合に、管理者にメールで通知します。
WAFチューニングサポートWAF(SiteGuard Lite)の除外ルールを作成します。

ダッシュボード

プラグインの管理画面のダッシュボードで機能一覧と有効化の状態がわかります。
機能が「ON」になると、チェックリストの画像が「緑色」に変わります。

ダッシュボード

管理ページアクセス制限

WordPressの管理画面(/wp-admin/以降)に対する攻撃から防御するための機能です。

この機能を有効化すると、ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。

管理ページアクセス制限

ログインページ変更

ブルートフォース攻撃、パスワードリスト攻撃等の、不正にログインを試みる攻撃を受けにくくする機能です。

この機能を有効化すると、WordPressのログイン画面(wp-login.php)のURLを変更します。初期値は「login_5桁の乱数」ですが、任意のURLに変更することができます。

ログインページ変更

ログイン画面のURL変更例

変更前:https://xxxxx.com/wp-login.php
変更後:https://xxxxx.com/login_5桁の乱数

画像認証

「ブルートフォース攻撃」「パスワードリスト攻撃」などの不正にログインを試みる攻撃やコメントスパムを受けにくくするための機能です。

画像認証の文字は「ひらがな」と「英数字」が選択できます。
「ひらがな」による画像認証は、日本語がわからない外国人にとっては突破困難です。

画像認証

ひらがなの画像認証

ひらがなの画像認証

ログイン詳細エラーメッセージの無効化

WordPressのユーザー名を調査する攻撃を受けにくくするための機能です。

この機能を有効化すると、ログインに関するエラーメッセージが全て同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログイン詳細エラーメッセージの無効化

ログインロック

「ブルートフォース攻撃」「パスワードリスト攻撃」などの不正にログインを試みる攻撃を防ぐための機能です。特に、機械的な攻撃から防御するのに役立ちます。

この機能を有効化すると、ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウントごとのロックは行いません。

ログインロック

ログインアラート

不正なログインに気づきやすくするための機能です。

この機能を有効化すると、管理画面にログインすると、ログインユーザーに対してメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。尚、XML-RPCによるアクセスは通知されません。

ログインアラート

フェールワンス

パスワードリスト攻撃を受けにくくするための機能です。
この機能を有効化すると、正しいログイン情報を入力しても、1回だけログインを失敗します。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

フェールワンス

XMLRPC防御

「ピンバック」または「XMLRPC」全体の機能を無効化します。
「xmlrpc.php」の機能を無効化することで悪用を防ぎ、セキュリティを強化できます。

近年、この機能が悪用される場合が多く、WordPressの「ピンバック」や「XMLRPC」の機能を利用していない場合は、機能を無効化しておくことをお勧めします。

XMLRPC防御

用語解説
ピンバックブログの記事内で外部に対してリンクを貼ったことを相手のブログに通知する際に利用されます。
XMLRPC外部のプラグインやアプリケーションと連携する際に利用されます。

ユーザー名漏洩防御

「author=数字」のアクセスによる、WordPressのユーザー名の漏えいを防止する機能です。

WordPressのログイン認証は、ユーザー名とパスワードの組み合わせでログインします。ユーザー名が外部に漏洩すると、攻撃者は後はパスワード解析だけになります。ユーザー名は隠しておいた方が安全です。

そして、外部から「REST API」の機能を悪用してユーザー名を取得することを無効化するオプションも利用できます。

ユーザー名漏洩防御

更新通知

セキュリティの基本は、常に最新のバージョンのWordPressを利用することです。

この機能を有効化すると、WordPress本体・プラグイン・テーマの更新が必要になった場合に、管理者宛にメールで通知します。更新の確認は24時間ごとに実行されます。

更新通知

ログイン履歴

WP管理画面のログインまたはログインエラーの履歴を確認できます。

ちなみに、初期状態はまだ履歴がありません。プラグインを有効化した後からログイン情報が記録されるようになります。

定期的にログイン履歴を確認する必要があります。特に注意する必要がある情報は、ログインの結果が「失敗」や「ロック」となっている履歴です。もし、その履歴がある場合は、あなたのブログに対して、何者かが機械的に不正ログインを試している可能性があります。

その場合は、このプラグインの機能を利用してセキュリティを強化しましょう。

ログインエラーが発生している例

ログイン履歴

公式マニュアル

このプラグインの使い方については、公式サイトのマニュアルをご覧ください。

まとめ

SiteGuard WP Pluginは、WordPressに対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のWordPressプラグインです。

このプラグインは日本の企業が開発・運用しています。プラグインの管理画面やマニュアルが全て日本語表記です。

難しい初期設定などはありません。初心者でも安心して利用できます。非常に使いやすいプラグインなので活用しましょう。