「Site Guard」でWordPressへの不正ログインを防ぐ【セキュリティ対策】

・不正ログインされないか不安…
・WordPressのセキュリティを高める方法を知りたい

こうしたお悩みを解消します。

まず先にいうと、WordPressでブログを開設したあと、ログインページURLをそのままにしていると不正アクセスに遭う危険があります。

そこで必要になってくるのは「Site Guard」というプラグインで、ログインページURLを変更する作業。

今回はその作業の方法や設定について解説します。

ログインURLはデフォルトだと危険

実はWordPressのログインページって、だれでも自由にアクセスできてしまうことをご存知ですか？

デフォルトのままだと、下記のURLになっています。

https://ドメイン名/wp-admin

つまりだれでも管理画面の「入り口」まで侵入できてしまうという…。

え…怖すぎる！そんなガバガバなの…

そして万が一不正ログインされてしまうと、次のような危険があります。

パスワードを勝手に変更される
サイトコンテンツを荒らされる
サイバー犯罪の拠点に使われる

などなど、かなり危険です。

そしてその危機はぼくの元にも…。

つい先日こんなメールが届きました。

ぼくは全く心当たりがないので、確実にだれかが不正ログインをしようとして失敗したことになります。

そこで急いで導入したのが、「Site Guard」というセキュリティ対策用のWPプラグイン。

実はこの記事を書くために、あえてログインページURLをデフォルトのままにしていたのはここだけの話…笑

らく

Site Guardのインストールと初期設定

ではこれから実際に「Site Guard」を導入していきます。

作業手順

Site Guardをインストール＆有効化
ログインページURLの変更

Site Guardをインストール＆有効化

WPの管理画面から「プラグイン＞新規追加」と進み、「SiteGuard」で検索しましょう。

「Site Guard」を有効化すると自動でログインURLが変更されます。

このあと自分で好きなログインページURLを設定するので、今ここで自動で新しく変更されたURLをブックマークする必要はありません。

ログインページURLの変更

WPの管理画面から「SiteGuard＞ログインページ変更」と進みます。

自分の好きなログインページURLを設定しましょう。

変更を保存を押せば、設定完了。

変更すると画面上に、「ログインページURLが変更されました」と表示されます。

ここで変更したURLを忘れるとログインできなくなるので、絶対にメモするなりブックマークしてください！

らく

その他の設定・機能

ログインページURLの変更以外にも、設定できる項目は11種類あります。

いずれもセキュリティを高めるには重要なものばかり。

とはいえ「Site Guard」を有効化した時点ですでに設定されているので、デフォルトのままで問題ありません。

他の設定は特にいじらなくても大丈夫！

らく

ですが一応各機能について、解説しておきます。

各自で必要に応じて設定の調整をしてください。

管理ページアクセス制限

「ON」にすると、ログインしていないユーザーが管理画面に侵入することを防ぎます。

ログインしていないユーザーが「https://ドメイン名/wp-admin」にアクセスすると「404エラー」を返す。

デフォルトでは「OFF」になっています。

画像認証

「ON」にすると、ログイン時に画像認証を有効にします。

↓こんな感じ。

画像認証を有効にすることで、ボット攻撃からの不正アクセスを防げるので、「ON」にしておくことをオススメします。

ボット攻撃は画像の認識ができないため、セキュリティ対策としてとても有効。

ログイン詳細エラーメッセージの無効化

「ON」にすると、ログインエラーした時に「パスワードが間違えていたのか」「IDが間違えていたのか」を伝えずに済みます。

これにより不正ログインを試みる者に、IDやパスワードが特定されるリスクを軽減します。

デフォルトだと「ON」になっているので、そのままで大丈夫です。

ログインロック

「ON」にすると、繰り返しログインに失敗したユーザーを一定時間ロックできるように。

不正アクセスはプログラムやソフトを使って、機械的に何十回もログインを試みますが、そうした行為を無効化できます。

ログインアラート

「ON」にすると、WP管理画面にログインしたことをメールで通知してくれます。

心当たりのない不審なログインをいち早く認知できるので、「ON」にしておきましょう。

フェールワンス

「ON」にすると、正しいログイン情報を入力しても、最初の1回だけはエラーにします。

リスト攻撃を防ぐ有効な手立て。

自分がログインするときも2回ログイン情報を入力しないといけないのが若干の手間です。

XMLRPC防御

「ON」にすると、ピンバック機能を逆手にとった不正なサーバー妨害などの攻撃を防ぐことができます。

ピンバック機能とは、被リンクを貼った時にリンク先のサイトに通知を送る機能。

ピンバック機能は無効化にしても何も問題ないので、「ON」にしておきましょう。

更新通知

「ON」にすると、WordPressやプラグインに更新が必要なときにメールで通知してくれます。

常に最新の状態を維持できるので、セキュリティ対策としてはいいですが、通知がわずらわしい人は「OFF」にしておきましょう。

ぼくも「OFF」にしています。

らく

WAFチューニングサポート

これは、自身のサーバーに「Site Guard Lite」を導入している場合のみ「ON」にしてください。

特に導入していなければ、「OFF」のままでOK。

Site GuardでWordPressを不正ログインから守る

今回50個ほどのブログをチェックしたところ、なんと38個のブログがログインページURLをデフォルトのままにしていました。

悪意あるユーザーやクラッカーの攻撃からブログを守るためにも、セキュリティ対策は万全にしておきましょう！

ブログ記事を見る