こんにちは、そらえです!
今回はブログを運営している方なら一度は聞いたことあるプラグイン名、『SiteGuard WP Plugin(以下、サイトガード)』についてお話したいと思います。
つい先日、私自身にサイトガードが発動してしまい、ログインできず焦りました…。
皆さんがそうならないためにも、備忘録的な意味も兼ねてサイトガードの機能と体験談、最後に導入方法を紹介したいと思います。
・ブログを開設しようとしている
・ブログを開設したてである
・セキュリティが心配
・とりあえずサイトガードを導入しただけの人
SiteGuard WP Plugin(サイトガード)って何?
サイトガードは『ブログを開設したらこのプラグインを入れよう!』といった題名でよく紹介されている定番のプラグイン。名前からも想像できる通り、不正アクセスや画像認証の設置、ログインアラートなどを設定することが出来ます。
WordPressの管理画面やログイン画面は、悪意ある第三者から攻撃を受けるてしまうことがあります。もしログインされた場合、サイトの改ざん、記事削除、個人情報の不正取得などの被害に遭ってしまうことも。
そのような攻撃から守るセキュリティ対策として、一役買ってくれるのがこのプラグインという訳です。導入するだけで管理画面やログイン画面を保護することができます。
しかもこのサイトガードの利用は無料です!
主な機能の紹介
もう少し詳しく見ていきましょう。
メニューは以下の通り。①~⑩はON・OFF自由に設定できます。
| メニュー名 | 機能 |
| ①管理ページアクセス管理 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守る ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返す |
| ②ログインページ変更 | ログインページ名を変更 ログインページ(wp-login.php)の名前を変更できる |
| ③画像認証 | ログインページ、コメント投稿に画像認証を追加 |
| ④ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返す ログインに関するエラーメッセージがすべて同じ内容にする |
| ⑤ログインロック | ログイン失敗を繰り返す接続元を一定期間ロック 接続元IPアドレスを指定時間ブロックする |
| ⑥ログインアラート | ログインがあったことをメールで通知 |
| ⑦フェールワンス | 正しい入力を行ってもログインを一回失敗する |
| ⑧XMLRPC防御 | XMLRPCの悪用を防ぐ |
| ⑨更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知 |
| ⑩WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成 |
| 詳細設定 | IPアドレスの取得方法を設定 |
| ログイン履歴 | ログインの履歴が確認できる |
通常Wordpressの監理画面のログインURLは、サイトURLの後に『/admin/』や『/login/』といれるとログイン画面にリダイレクトされます。
ということは誰でもログイン画面を開けるということなんですね。対策を取っていない場合、機械的に何度も試行され、挙句の果てにはログインを許してしまうなんてことも…。
思い出せば他サイトでもよく見かけますよね。
・一定回数間違えたらロックがかかる
・機械入力を防ぐため画像認証機能がある
これらの機能をサイトガードを導入するだけで、自身のログイン画面にも設けることが出来ます!
そもそもログイン画面は自分しか使わないので、そこまでたどり着けなくすれば攻撃も出来ません。URLを変更するという手も合わせるのも良いですね。
- 一定回数間違えたらロックしたい→⑤
- 機械攻撃を防ぐため画像認証を導入したい→③
- そもそものログイン画面URLを変更したい→②
サイトガード発動の体験談
①運営者本人がサイトから閉め出された話
ある日のこと、ブログを開こうと管理画面をブックマークしていたURLを開こうとしたら404(Not found)の表示が!?
Google先生に『Wordpress ログインできない』なんて調べ、『/admin/』や『/login/』で試してみるも表示されず。夜だったので気になって寝付けずめちゃくちゃ調べてました。
たまたま、スマホのWordpressアプリを入れていたので、そこから表示されたログイン画面から管理ページに入ることが出来ました。
その時のログイン画面のURLを調べたらURLが変更されていました。そう、上記でも紹介したサイトガードの機能・②ログインURL変更が仕事していたのです。
初期設定では『login_ランダムな数字の羅列(5桁)』となっていますが、自分の好きなように設定することが出来ます。
サイトガードを使っていると推測され、login_5桁の数字を総当たりされること可能性もあるので、万全を期すためにもこちらは変更をお勧めします。
ログインページが表示されなかった理由は解決しましたが、ブックマークが開けなくなった理由は謎のまま。
振り返った時に、電波を変えたことを思い出します。家のルーターがダウンしてしまい、急遽モバイルルーターのWi-Fiで繋いでいたんですね。
電波が変わったということは、*IPアドレスが変わったということ。サイトガード機能・①管理ページアクセス管理が仕事していたのです。
一度ログインが出来れば、モバイルルーターからでもブックマークから無事飛ぶことが出来ました。
*IPアドレスとは?
インターネット上の住所のようなもの。データのやり取りをする際、ネットワーク上の機器を識別するために番号が割り振られている。
私のようにならないためにも、導入時は必ず設定を確認しましょうね…!特にログインページURLは控えるようにしておきましょう。
②ログイン履歴をみたらめちゃくちゃ試行されてた話
とある日のこと、ログイン履歴を確認するとリスト一面が同IPアドレスのログイン試行で埋まっていました。
なんと、20:32:28~20:32:32の計4秒の間に60回も試行が!
いわゆる機械攻撃でしょうかね。
サイトガードのおかげで見事にロックがかかっています。
プラグインを導入すれば、このような攻撃を防いだりログイン履歴をみたりすることが出来ます。
もしロックされず、運悪くログインされてしまったらと思うと怖いですね。
何より有名でなくても、狙われる可能性があるということを知りました。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックしてくれます。
サイトガードの導入方法
プラグインの導入はとても簡単です!1分も掛からず無料でインストールできます。
プラグインをインストールする
- WordPress管理画面にてリストから『プラグイン』をクリック
- リストダウンから『新規追加』をクリック
- プラグインの検索バーより『siteguard』と入力
- 『今すぐインストール』をクリック
- 『インストール済みプラグイン』よりサイトガードを有効にする
これだけで有効になります。
サイトガードの設定より、お好みの設定に変えていきましょう。
ご自身のサイトのセキュリティを向上させることが出来ます。
最後に
今回はSiteGuard WP Plugin(サイトガード)について紹介しました。
WordPressはサイトを自由に作成できとても便利です。その一つとして、セキュリティも好みにカスタマイズできます。
公開している以上、認知度に関わらず無慈悲に攻撃されてしまう可能性があります。せっかく始めたサイトが無くなってしまったら悲しいですよね。
少し手間はかかりますが、こういったものを取り入れると安心です。
私が運営しているブログはConoHaから簡単Wordpressで作成しました!
月1,000円もいかずとってもお手軽価格。今ならキャンペーンで更にお買い得です。こちらのバナーから確認できますので是非見にいってください。
\ブログに関するまとめ記事はこちら/
コメント