ワードプレスのセキュリティって何がいいのか分からないわ。
パソコンでは、ウィルス対策ソフトもマカフィーやらウィルスバスター等有名ですが、ワードプレスとなると分からない事ばかりですよね。
「Akismet Anti-Spam」のプラグイン入れているから、大丈夫!!と思ったら、大間違いですよ。
えっ!違うの?
「Akismet Anti-Spam」プラグインは、コメントがスパムかどうかを判定するプラグインで、WordPress全体のセキュリティとは関係がない!
そうなんですよ。
だから、セキュリティのためにきちんと対策しておかないといけません。
では、どのプラグインがセキュリティが出来るのかというと、今回紹介する『SiteGuard WP Plugin』になります。
Contents
SiteGuard WP Plugin とは
SiteGuard WP Pluginの会社は、セキュリティ対策を軸に「日本発世界」の技術とノウハウを基盤とした製品とサービスを提供している会社です。
もちろん、プラグインも無料で提供されており、日本語対応のシンプル・簡単プラグインなので、初心者でも安心して入れることができます。
これなら、初心者の私も出来るよ!
SiteGuard WP Plugin セキュリティの使用方法
まず、プラグインをインストールしましょう。
ワードプレスのプラグインをクリックします。
プラグイン 新規追加する
新規追加で、SiteGuard WP Pluginと入力します。
入力後、SiteGuard WP Pluginをインストールします。
今すぐインストールをクリックしましょう。
砂時計が回ります。
終了後、有効化(Active)にしましょう。
有効化されると、左の黒い部分に『SiteGuard WP Plugin』が表示されます。
つまり、/wp-admin/でログインしていたのが、変更になりますので、必ず『SiteGuard WP Plugin』ログインページで確認しましょう!!
以下の設定変更で確認してください。
SiteGuard WP Pluginの設定変更
設定変更しましょう。
ダッシュボードで確認
まずはダッシュボードで確認します。
| 設定 | 意味 |
|---|---|
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
| ログインページ変更 | ログインページ名を変更します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージを単一のあいまいになメッセージにします。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート | ログインがあったことを、メールで通知します。 |
| フェールワンス | 正しい入力を行なっても、ログインを一回失敗します。 |
| XMLRPC防御 | XML RPCの悪用を防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
| WAFチューニングサポート | WAF(SiteGuard Lite)の除外ルールを作成します。 |
インストール後は、このようになっています。
一番最初にチェックするのは、ログインページ変更です。
SiteGuard WP Pluginの変更箇所
ほとんどデフォルトで大丈夫ですが、ログインページは必ず確認・変更して下さい。
ログイン変更ページ
『SiteGuard WP Plugin』をインストールすると、自動で「https://自分のサイトURL/login_xxxxx(5桁の乱数).php」となります。
そのため、自分で覚えやすい/wp-admin/の箇所を設定しましょう!
このままでもいいのですが、ログインが/wp-admin/ではなくなり、勝手につくられた/login_xxxxx(5桁の乱数)となりますので、必ずコピペまたは、どこかにメモをしておきましょう。
「管理者ページからログインページへリダイレクトしない」をチェックすると、ログインしていない状態で/wp-admin/にアクセスした場合に404 Not Foundとなり、変更されたログインページにリダイレクトされなくなります。
更に、厳重なセキュリティが出来ますので、✅チェックします。
ログインアラート
ログインアラートは、WordPressにログインがあるたびにメール送信されるので、ログインアラートはOFFにしてもいいかと思われます。
もちろん、ログインするたびにメールが来るのが安心な人は、このままONにしておきましょう。
更新通知
デフォルトの場合はONになっています。
WordPress本体、プラグイン、テーマの新しいバージョンがリリースされたときに管理者にメール通知する機能です。
よくプラグインの更新もあるので、ON→OFFにしておくとメールが沢山くることがなくなります。
さちは、ログインアラートと、更新通知はOFFにしています。
ログインするには
ワードプレスにログインするには、毎回ログイン画面が表示されます。
ユーザー名・パスワードはパソコン内で記憶していれば自動で記載されていますが、毎回新しい文字の入力が必要になります。
表示する文字は、ダッシュボード→画像認証で変更できます。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
英語の入力よりも、ひらがな入力の設定(デフォルト)のままがセキュリティ対策にもいいでしょう。
管理ページアクセス制限
管理ページアクセス制限をONにすると、記録のない接続元IPアドレスの端末から/wp-admin/にアクセスしたときに404エラーページを表示して不正ログイン攻撃を防ぐことができます。
/wp-admin/を使用したい場合は、除外パスに追加しておきましょう。
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
気をつけなくてはいけないのは、24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。
もし、ログインできなくなったらどうすればいいんだ!?
SiteGuard WP Pluginのログインが出来なくなりました。を参照ください。
不安な人は、OFFのままにしておきましょう!
SiteGuard WP Plugin設定後のダッシュボード
管理ページアクセス制限をしていない場合は、チェックが5個ついている状態になりますね。
SiteGuard WP Pluginセキュリティ対策 まとめ
SiteGuard WP Pluginは、初心者でも使いやすく、一度設定したら安心ですよね。
ただし、ログインページが変更になるので、忘れないようにしましょうね!
