ワードプレスでサイトを運用していくわけで、必ず注意しておかなければならないのはワードプレスサイトの改ざんや乗っ取り。
日々新しい方法で攻撃を仕掛けてくる輩が居るので狙われると100%防ぐのは難しいかも知れませんが、だからと言って全く防御しないのはいただけません。
そこで今回はインストールするだけでいくつもの対策が一気に行える便利なプラグイン「SiteGuard WP Plugin」を導入して、サイトのセキュリティー効果を高めていきます。
WordPresプラグインとは
WordPressのプラグインはPHPで作れらた小さなプログラムのことで、WordPressに追加でインストールすることで、標準にはない機能を簡単に追加することができます。
ワードプレスを改ざんや乗っ取りから守るプラグイン
ワードプレスを改ざんや乗っ取りから守るにはいくつもの方法がありますが、簡単で複数の防御を施せるのが「SiteGuard WP Plugin」です。
「SiteGuard WP Plugin」はインストールだけで多くのセキュリティー対策を行うことができます。
SiteGuard WP Pluginのインストール
まずはプラグインのインストールです。
SiteGuard WP Pluginは公式サイトに登録されているので、ワードプレスの管理画面からインストールすることができます。
SiteGuard WP Pluginの主な機能
SiteGuard WP Pluginをインストールして有効化すると、管理画面のメニューに「SIteGuard」という項目ができているので、それを選択します。
選択した画面では以下の項目が設定できるようになっています。
| 機能 | 内容 |
|---|---|
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
| ログインページ変更 | ログインページ名を変更します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート | ログインがあったことを、メールで通知します。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
| XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
| 詳細設定 | IPアドレスの取得方法を設定します。 |
| ログイン履歴 | ログインの履歴が参照できます。 |
管理ページアクセス制限
管理ページアクセス制限機能はログインしていない接続元IPアドレスからの管理ページ(/wp-admin/以降)へのアクセスをHTTPの404 NOT FOUNDエラーにします。
こうすることで管理ページへの不正アクセスを防いでくれます。
ログインページ変更
ログインページ変更はワードプレスのログインページ(wp-login.php)の名前を変更します。
通常ワードプレスのログインページは「https://サイトURL/wp-login.php」ですが、これを変更して、攻撃者からは想像できないログインページ名にすることで、攻撃の成功率を下げます。
ログインページ(wp-login.php)の名前を変更することでブルートフォース攻撃やパスワードリスト攻撃などの、不正ログインの試行を受けにくくします。
画像認証
画像認証機能はログインページに画像認証を設けることで、不正ログイン対策はより強固になり、コメント欄の画像認証により、コメントスパムの対策も可能になり、ブルートフォース攻撃、パスワードリスト攻撃等の不正ログインやコメントスパムを防ぎます。
ログイン詳細エラーメッセージの無効化
ログイン詳細エラーメッセージの無効化機能はユーザー名の存在を調査する攻撃を受け難くするための機能です。
ログインロック
ログインロック機能はログインに繰り返し失敗する接続元からのアクセスを禁止してブルートフォース攻撃、パスワードリスト攻撃等の不正ログインを防ぐための機能です。
ログインアラート
ログインアラート機能はログインすると、ログインユーザーにメールが送信されるため、不正なログインに気付きやすくなる不正ログイン対策の補助機能です。
フェールワンス
フェールワンス機能は正しいログイン情報を入力しても、1回だけログインが失敗させ、パスワードリスト攻撃を受け難くするための機能です。
XMLRPC防御
XMLRPC防御機能はピンバック機能、または、XMLRPC機能全体を無効にします。
XMLRPC経由のブルートフォース攻撃やパスワードリスト攻撃の防御には、XMLRPC機能全体を無効にすると効果があります。
更新通知
更新通知機能はWordPressのセキュリティ対策で重要なWordPress、プラグイン、テーマの更新の通知を管理者にメールでします。
WAFチューニングサポート
WAFチューニングサポート機能はWebサーバにWAF(JP-Secure「SiteGuard Lite」)が導入されている場合に、WordPress内での誤検出(正常アクセスで、403エラーが発生する等)を回避するためのルールを作成する機能です。
まとめ
ワードプレスの改ざんや乗っ取を防ぐにはWordPressやプラグイン、テーマの最新化を怠らないことが非常に重要ですが、それに加え「SiteGuard WP Plugin」などの機能も組み合わせて、何重にも対策することが必要です。
以上、ワードプレスを改ざんや乗っ取りから守るプラグイン~SiteGuard WP Plugin~でした。
