WordPressのセキュリティ対策はSiteGuard WP Pluginにお任せ!

ここあです。

 

ここ近年、企業にも個人にも注目されている

オウンドメディア。

 

そんな時代背景もあり、初心者でも手軽に

サイト構築ができるWordPress使った

Webサイトが急増中です。

 

WordPressのシェア率は全世界で29.2%。

つまり、世界規模で見ると、すでに3つに1つが

WordPressでWebサイトが構築されています。

 

また、日本においてはWordPressのシェア率が

84.2%(2017年12月時点)と、他国と比べて

WordPressの利用者が圧倒的に多いです。

 

そんなシェア率を誇るWordPressは

利用ユーザの増加と共に、どんどん機能が充実し

さらに使いやすく便利になってきています。

 

しかし、裏を返せば、WordPressの利用ユーザーが

増えたことでWordPressを狙った悪質なウイルス攻撃や

不正アクセスが増えてくる可能性があり

 

ある意味、それはそれで「危険だ!」とも

考えておかなければなりません。

 

特に、全世界と繋がるインターネットの世界では

いつどこの国から自分のサイトが

攻撃されてもおかしくないし

 

それこそ被害に遭ってからでは

取り返しがつかなくなってしまいます。

 

なので、そんな悪質な攻撃に備え

今からしっかりとセキュリティ対策をしておかなければ

 

必死になって運営してきたオウンドメディアが

どこからか攻撃を受けて、後から泣くはめに

なってしうかもしれません。

 

そうならないためには、サイト構築が仕上がる前から

できるだけ早い段階でセキュリティ対策を

しておく方が安心です。

 

だから、まだサイト運営を始めたばかりだし…

「セキュリティ対策は後でいいや!」なんて

甘い考えはさっさと捨てて

 

「先にセキュリティ対策しておかなきゃ!」

ぐらいの勢いで、ガッツリ対策をしておきましょう。

 

ということで今回は…、不正ログインで一番メジャーな

“ブルートフォースアタック”から

あなたのサイトを守ってくれる

 

WordPressのプラグイン『SiteGuard WP Plugin』の

インストール方法と設定の仕方をご説明致します。

 

ちなみに、ブルートフォースアタックとは

総当たり攻撃とも呼ばれ、以下のような

解読法を表す悪質な不正攻撃です。

 

詳しくは以下、ご参照ください。

総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attackとも呼ばれる。
引用:フリー百科事典『ウィキペディア(Wikipedia)』

 

SiteGuard WP Pluginとは?

まずは、初心者のあなたでも簡単にセキュリティ対策できる

WordPressのプラグイン『SiteGuard WP Plugin』の

特徴について簡単にご説明致します。

 

SiteGuard WP Pluginにはこんな特徴があります。

SiteGuard WP Pluginの特徴

  • ログインを何度も試すブルートフォースアタックの不正ログイン対策が可能
  • ひらがな画像認証でロボットや海外ハッカーに対して非常に強力
  • WAF(Web Application Firewall)を提供している大手JP-secureのプラグイン
  • 大量のコメントスパムからも保護出来る
  • XML-RPC防御機能もある
  • 国産プラグインだから、日本語表記で安心

 

SiteGuard WP Pluginを開発しているJP-secureは

WAF(Web Application Firewall)を開発・販売する

Webセキュリティの専門企業。

 

JP-secureのWAFは官公庁やメガバンクなど

大手企業にも選ばれている実績のある

超優秀なWebセキュリティプログラムです。

 

そんな日本企業が作ったプラグインなので

使いやすさはもちろんのこと

 

安全性や今後のアップデートにも十分期待できる

おすすめプラグインがこのSiteGuard WP Plugin^^

 

SiteGuard WP Pluginのインストール手順

それではWordPressの管理画面から

SiteGuard WP Pluginをインストールしましょう。

 

SiteGuard WP Pluginをインストールするには

ダッシュボードメニューから

プラグイン → 新規追加をクリック。

 

ダッシュボードメニュー

 

プラグインの新規追加画面を開いたら

  1. 画面右上の検索ボックスにSiteGuard WP Pluginと入力
  2. SiteGuard WP Pluginが表示されたら今すぐインストールをクリック

してください。

 

プラグインの新規追加画面

 

インストールが完了したら、そのまま有効化をクリックします。

プラグインの有効化

 

プラグインを有効化すると以下のように

SiteGuard WP Plugin有効化

 

  • ログインページURLが変更されました
  • 新しいログインページURLをブックマークしてください

と表示が出て

 

WordPressの管理画面にログインするURLがすぐに

  • https://ドメイン名/wp-admin/から
  • https://ドメイン名/login-00000/(00000は変数)

へと変更されます。

 

ですが、このタイミングで慌てて

ログインページのURLをブックマークしなくても大丈夫^^

焦らず、1つずつ設定を進めましょう。

 

SiteGuard WP Pluginの設定方法

SiteGuard WP Pluginはインストールして有効化できたら

プラグインの設定が必要となります。

 

まずは、WordPressの管理画面

ダッシュボードメニューからSiteGuardをクリックして

 

SiteGuard WP Pluginのダッシュボードを

開いてみましょう

ダッシュボードメニュー

 

以下の画面がSiteGuardのダッシュボード。

SiteGuard WP Pluginでは、細かく10項目の設定が可能です。

SiteGuardのダッシュボード

 

ちなみに、ダッシュボードで

  • 緑のチェック:ON(有効)
  • 白のチェック:OFF(無効)

という具合に…

 

今現在設定されているセキュリティの状態を

確認することができます。

 

各項目を設定する前に、とりあえず画面一番下の

ログイン履歴をチェックしてみましょう。

 

ログイン履歴をクリックすると

ログイン履歴の詳細画面に移動します。

ログイン履歴の詳細画面

 

このログイン履歴をチェックすると

ログインの成功・失敗に関わらず

ログインを試みたユーザーを全て確認することができます。

 

私が、確認した上記画面では…

上から2行目…、怪しいログイン履歴が…

と思いきや…

 

これは単に私のログインパスワードの入力ミス(笑)

と、こんな感じで、不正ログインで失敗した時に

ちゃんと記録が残ることも確認できした^^

 

ここ近年起こったLINEの乗っ取り事件のように

あなたのオウンドメディアもいつ誰に乗っ取られ

サイトをぐちゃぐちゃにされるかなんて分かりません。

 

ましてや、収益化のメドが立った矢先に

乗っ取りに遭うなんて…ということになってしまうと

悔やんでも悔やみきれなくなってしまいます。

 

なので、不正ログインや不正アクセスを他人事とは考えず

常にあなたのサイトも狙われているという意識で

確実にセキュリティ対策をしておきましょう。

 

それでは上から順番に、設定方法を解説していきますね。

 

管理アクセス制限

管理アクセス制限の設定はONにしましょう。

 

管理アクセス制限

 

管理アクセス制限は

ログインが行われてない接続元IPアドレスに対して

管理画面にアクセスできないようにする機能です。

 

つまり、簡単に言うと…

https://ドメイン名/wp-admin/に対し、外部からログインしようと試みると

404(Not Found)と表示されるように設定ができます。

 

除外パスに関しては、通常、デフォルトのままで構いませんが

管理ページにアクセス制限をかけていると、場合によっては

デザインが崩れて表示がおかしくなることがあります。

 

もしも、そんな状況に遭遇した場合は

除外パスの部分にload-styles.phpと入力し

除外パスとして設定してください。

 

ログインページ変更

ログインページ変更の設定はONにしましょう。

 

ログインページ変更

 

この機能は、WordPressの管理画面にログインするためのURLを変更する機能です。

 

WordPressの管理画面は通常URLが

https://ドメイン名/wp-admin/となりますが

 

この機能をONにすることでURLは

https://ドメイン名/login_00000/へと変更されます。

 

ただし、1つ気を付けなければならないのは…

先に設定した管理アクセス制限をOFFにしてしまうと

 

ログインページのURLを変更しても

https://ドメイン名/wp-admin/にアクセスすることで

https://ドメイン名/login_00000/にリダイレクトされてしまいます。

 

だから、管理アクセス制限とログインページ変更は

必ず二個一で設定するようにしてくださいね。

 

また、ここの設定画面で変更後のURLを確認したら

必ずブックマークしておきましょう。

 

もしもURLが分からなくなった場合

エックスサーバーを使っている方は…

 

エックスサーバーのサーバーパネルから

.htaccess編集をクリックすれば

サーバーパネル

 

.htaccess編集の中に、login_00000(数字は変数)と

書かれた行が見つかりますので、それを元に

 

https://ドメイン名/login_00000/とすれば…

管理画面のログインページを開くことができます。

 

画像認証

画像認証の設定もONにしましょう。

 

画像認証の設定

 

画像認証をONにすると

このようにログイン画面に画像認証の項目が新たに設置されます。

ログイン画面

 

ユーザー名とパスワード以外に

このようにひらがなの画像認証が増えることで

不正ログインのハードルを上げることができます。

 

さらに、ひらがなに設定することで

ロボットや海外からの攻撃にはかなり有効なので

必ずONに設定しておきましょう。

 

ログイン詳細エラーメッセージの無効化

ログイン詳細エラーメッセージの無効化も

設定はONにしましょう。

 

ログイン詳細エラーメッセージの無効化

 

ログイン失敗時のエラーメッセージを無効化し

常に同じメッセージを表示させるという設定です。

 

通常であれば、失敗した理由を正確に伝えてくれますが

不正アクセスする人間に、正しい情報を教えては意味がありません。

 

万が一、片方でも正しい情報だと分かってしまうと

それはそれで問題ですよね。

 

なので、この機能をONにしておくことで

ログイン時の失敗理由を隠すことができるのでさらに安心です。

 

ログインロック

ログインロックの設定もONにしてください。

 

ログインロック

 

ログインロックは、繰り返し不正ログインしたユーザーを

一定時間ロックする機能です。

 

不正ログインや不正アクセスは通常、人為的な手段ではなく

解析プログラムを利用して侵入を試みますので

それらを一定期間無効化できます。

 

設定は全てお好みでしてください。

 

ログインアラート

ログインアラートの設定もONにしておきます。

 

ログインアラート

 

ログインアラートは不正なログインがあった時に

登録したメールアドレス宛にメールが届く設定ができます。

 

ログインに心当たりがないメールを頻繁に受信する場合は

念のためパスワードの変更をするなど

対策を取るようにしましょう。

 

フェールワンス

フェールワンスの設定はOFFにしましょう。

 

フェールワンス

 

フェールワンスはパスワードのリスト攻撃を受けにくくするための機能です。

 

上記画像を見ても分かる通り、この設定をONにしておくと

正しいログイン情報を入力しても、1回目は

必ずログインが失敗します^^;

 

つまり、毎日もしくは頻繁にWordPressに

あなたがログインする場合

かなりユーザビリティが悪くなります。

 

基本的にはOFFにしておく方が

ログイン時のわずらわしさがなくなるので

よほどのことがない限り、設定はOFFにしておきましょう。

 

XMLRPC防御

XMLRPC防御の設定はONにしてください。

 

XMLRPC防御

 

XMLRPC防御はピンバックによる不正な攻撃を防ぐ機能です。

 

ピンバックとはブログのコンテンツページに

リンクが貼られたことを通知する機能です。

 

大量のアクセスを特定のサイトに送信することで

サーバーへ高負荷をかけダウンさせるという

ピンバック機能を悪用したDDos攻撃というものがあります。

 

XMLRPC防御のピンバックを無効化設定にすることで

このような悪質な攻撃からサイトを守ることができます。

 

ただし、XMLRPCの設定を無効化してしまうと

他のプラグインにも影響を及ぼす可能性がありますので

ここでは、ピンバックの無効化だけチェックするようにしましょう。

 

ピンバック機能も、機能自体は悪くないので

ピンバック機能を活用したい場合は、XMLRPC防御の

設定自体をOFFにしておいても問題はありません。

 

更新通知

更新通知の設定は基本的にONにしておきましょう。

 

更新通知

 

更新通知は上記画像を見てもわかるように

WordPressやプラグイン、テーマの更新を通知してくれる機能です。

 

WordPressはセキュリティ向上のため

随時アップデートさせるので

WordPress本体のアップデートは欠かせません。

 

ということで、更新通知は必ずONに設定し

常にWordPressが最新の状態で保てるように

更新作業を欠かさないようにしておきましょう。
※アップデートの際は、各テーマの注意事項も確認しましょう。

 

WAFチューニングサポート

WAFチューニングサポートはOFFにします。

 

WAFチューニングサポート

 

エックスサーバーでもWAFの設定をできますが

私のサイトはWAF設定したら、501エラーが出て

表示されなくなりました^^;

 

なので、私の場合は念のため

SiteGuardでもWAFは使用せずOFFにしています。

 

以上が、SiteGuard WP Pluginの設定方法です。

 

WordPressのセキュリティ対策まとめ

WordPressのセキュリティ対策まとめ

 

今回はWordPress初心者でも

圧倒的にセキュリティ対策しやすいプラグイン

『SiteGuard WP Plugin』の設定方法について解説しました。

 

しかし、いくらプラグインで

セキュリティ対策をしたからとはいえ100%安全に

あなたのサイトを守れるというワケではありません。

 

なので、WordPressのプラグインを活用することで

最低限のセキュリティは強化できますが

やはり、あなたのパソコン環境に合わせて

 

ウイルス対策や、セキュリティ対策

システムのアップデートや

WordPressのアップデートなど

 

テーマ1つとってみても常に最新の状態を保つことが

セキュリティの脆弱性からあなたのサイトを

より安全に守ることができます。

 

なので、今回あなたにご紹介したのは

あくまでもWordPressのセキュリティ対策の1つであって

 

このプラグインの設定が済んだからと言って

「もう絶対に安心!」というワケではありません。

 

いずれにしても、ウイルスや不正アクセスから

あなたのサイトを守れるのは、あなた自身です。

 

だからこれからも、様々な情報を目にしながら

サイトの運営方法だけでなく、あなたのサイトを守る方法も

しっかりと身につけながら、オウンドメディアを運営してくださいね。

 

最後までお読みいただきありがとうございました!

 

WordPressテーマ「THE THOR」
一流の開発陣によって集客と収益に徹底的にこだわり開発された究極のテーマ「ザ・トール」。どのテーマよりも早く実装された革新的機能が詰まったこのテーマで、あなたもインターネットを活用したビジネスを始めませんか?