WordPressは世界中で利用されている便利なCMSですが、その人気ゆえにセキュリティのリスクも高くなっています。悪意のある攻撃からサイトを守るためには、しっかりとしたセキュリティ対策が欠かせません。そこでおすすめなのが、簡単かつ強力にサイトを守ってくれる「SiteGuard WP Plugin」。
この記事では、なぜこのプラグインが必要なのか、そして具体的な設定方法を解説します。
サイト管理初心者でも簡単に導入できるので、ぜひ参考にしてください!
シロくまどれを選べばいいのかわからないや…
ありぃ設定も簡単でセキュリティも強力だから迷ったらコレが一番!
SiteGuard WP Pluginとは
SiteGuard WP Pluginは、日本発のWordPress向けセキュリティプラグインで、管理画面の保護やログイン試行の制限、ファイル編集の防止など多岐にわたるセキュリティ機能を提供しています。これらの機能により、一般的な攻撃からWordPressサイトを守ることができます。
特に初心者でも使いやすい設計となっており、インストールするだけで基本的なセキュリティ強化が可能なのが魅力です。
SiteGuard WP Pluginインストールの手順
SiteGuard WP Pluginをインストールする手順は非常に簡単です。
以上で、SiteGuardの導入は完了です。
設定手順
インストール後は、いくつかの設定を行うことで、セキュリティをさらに強化できます。
WordPress管理画面のダッシュボード
おすすめの設定項目
| 項目 | 意味 | よく使われる設定 |
|---|---|---|
| 管理ページアクセス制限 | WordPressの管理ページにアクセスできるIPアドレスを制限する機能。特定のIPからしかログインできなくすることで、攻撃のリスクを軽減。 | 使用頻度の高いIPアドレスをホワイトリストに登録し、定期的に確認。特に管理者専用のIPを登録する。 |
| ログインページ変更 | 標準のログインページ(/wp-login.php)のURLを変更し、ログインページを隠すことで、不正なアクセスを防止。 | ログインURLをカスタムのものに変更し、他者に知られないようにする。セキュリティを強化する基本設定の一つ。 |
| 画像認証 | ログイン時に画像認証を追加することで、ボットなどの不正なログイン試行を防ぐ機能。 | Google reCAPTCHAなどを利用し、セキュリティを向上させる。特に攻撃の多いサイトでは有効。 |
| ログイン詳細エラーメッセージの無効化 | ログイン失敗時のエラーメッセージを詳細に表示しないようにする機能。攻撃者にヒントを与えないため、セキュリティ強化に役立つ。 | エラーメッセージを無効化し、ログイン失敗時に「エラー」とだけ表示させる。攻撃者が情報を得るのを防止。 |
| ログインロック | 一定回数ログインに失敗したIPアドレスを一定時間ブロックすることで、ブルートフォース攻撃を防止する機能。 | 5回以上のログイン失敗で一定時間(例:15分間)ロック。攻撃が続く場合はさらに長い時間に設定することも可能。 |
| ログインアラート | ログインが行われた際に、管理者にメール通知を送る機能。異常なアクセスや不正ログインを早期に検知できる。 | 全てのログイン、特に管理者のログインに関して通知を受け取る設定にする。異常なIPや地域からのアクセスを即座にチェック。 |
| フェールワンス | ログイン情報が正しくても、初回ログイン時には必ず失敗させることで、ブルートフォース攻撃の成功率を下げる機能。 | ログイン時に一度必ず「失敗」メッセージが出るよう設定。手間は増えるが、セキュリティを強化するための対策。 |
| XMLRPC防御 | XMLRPC機能を無効化または制限することで、ブルートフォース攻撃やDDoS攻撃を防止する機能。特に、外部のアプリやサービスからの不正なアクセスを抑制。 | 基本的にXMLRPCを無効化し、使用する必要がある場合のみ有効にする。無効にすることで、WordPressサイトの防御力が向上。 |
| ユーザー名漏えい防御 | ログインエラーやユーザープロファイルのURLから、ユーザー名が漏れないようにする機能。攻撃者がユーザー名を知ることを防ぎ、ブルートフォース攻撃対策として有効。 | ユーザー名を非表示にし、特定の情報が外部に漏れないように設定。特に管理者アカウントに関して有効。 |
| 更新通知 | プラグインやWordPress自体に更新が必要な際、管理者に通知する機能。最新バージョンを常に保つことで、セキュリティの脆弱性を回避できる。 | 自動更新または通知が来たら即座に対応。特にセキュリティ関連のアップデートは重要 |
| WAFチューニングサポート | Web Application Firewall (WAF) の設定を調整し、プラグインやWordPressとの競合を回避する機能。サーバーレベルの防御と連携して、最適なセキュリティ対策を施す。 | WAFを有効にし、定期的に設定を見直す。特に大規模サイトや攻撃リスクが高い場合に有効。 |
管理ページアクセス制限
管理画面への不正アクセスを防ぐため、信頼できるIPアドレスのみが管理ページにアクセスできるように制限することで、攻撃リスクを大幅に軽減します。
当サイトではこの設定を行っていませんが、より強固なセキュリティ対策を求める方は、必要に応じて設定を検討してください。
- 「管理ページアクセス制限」設定を有効にする。
- ONにすることで記録のないIPアドレスの端末からログインがアクセスがあった時に404エラーページを表示させる
ログインページ変更
必須度:高
標準のログインURLを変更することで、ブルートフォース攻撃を防ぎやすくなります。非常に効果的なセキュリティ強化方法です。
デフォルトのログインURL(/wp-login.php)はよく知られており、攻撃者がブルートフォース攻撃を仕掛けやすいです。URLを変更することで、ログインページを隠し、攻撃者に発見されにくくします。
- SiteGuard WP Pluginの「ログインページ変更」設定を開く。
- 任意の新しいURL(例: /my-login-page)を入力。
- 変更を保存し、新しいURLをメモしておきます(忘れるとアクセスできなくなります)。
画像認証
必須度: 高
ボットや自動攻撃を防ぐため、画像認証は重要です。特に攻撃を受けやすいサイトには必須と言えます。
画像認証は、ログインやコメントフォームに画像認証を設ける機能です。
ひらがな、英数字を選ぶことができます。セキュリティ強度を上げるので有効にしておくのがおすすめです。
- SiteGuard WP Pluginの設定画面から「画像認証」を有効にする。
- 「ひらがな」または「英字」を選択
- 選択したら変更を保存
変更後のログインフォーム例です。
ログイン詳細エラーメッセージの無効化
必須度: 高
詳細なエラーメッセージは、攻撃者にログイン情報を推測させるリスクを減らすため、無効化することは重要です。
デフォルトの設定では、ログインエラー時(間違ったユーザーIDやパスワード入力時)「ユーザー名が正しくありません」や「パスワードが間違っています」といった詳細なエラーメッセージが表示されます。(不正ログインのヒントにもなってしまう)これにより、攻撃者がどの情報が正しいか推測できるため、エラーメッセージを無効化することで情報漏洩を防ぎます。
- SiteGuard WP Pluginの設定画面から「ログイン詳細エラーメッセージの無効化」を有効にする。
- 変更を保存
ログインロック
必須度: 高
一定回数以上のログイン失敗が続くとIPをロックすることで、不正アクセスを防止する重要な機能です。
ブルートフォース攻撃を防ぐため、一定回数以上のログイン試行を失敗すると、そのIPアドレスをロックする機能です。これにより、悪意ある攻撃者がパスワードを強制的に解読するのを防ぎます。
- SiteGuard WP Pluginの「ログインロック」を有効にする。
- ログイン期間(例:30秒)、試行回数(例: 3回)、ロック時間(例: 5分)を設定。
- 設定後は、変更を保存
ログインアラート
必須度:中
ログインアラートは不正アクセスを早期に検知できますが、設定が多すぎると通知が煩雑になる場合もあります。
必要に応じて有効にします。
ログインアラートは、WordPressにログインがあるたびにログインユーザー(通常は管理者)にメールが送信されます。不正なログイン試行や異常なログインアクティビティを早期に検知するために重要です。
- SiteGuard WP Pluginの管理画面で「ログインアラート」の機能を有効にする
- 受信者のところに管理者のみにチェックが入っているか確認
- 変更を保存
フェールスワン
必須度:低
フェールワンスは正しいログインをしても一度ログイン失敗にする「Fail Once(一回失敗)」機能です。
セキュリティ機能を少しでもあげたい方はONにすることができます。
- SiteGuard WP Pluginの管理画面で「フェールスワン」の機能を有効にする
- 対象ユーザーに管理者のみにチェックが入っていることを確認
- 変更を保存
XMLRPC防御
必須度: 高
XMLRPCは攻撃の対象になりやすいため、無効化することが推奨されます。
特にこの機能を利用していない場合は必須です。
XMLRPCは外部からのログインを可能にする機能ですが、ブルートフォース攻撃やDDoS攻撃の対象になりやすいため、不要な場合は無効化することでセキュリティを強化します。
XMLRPC機能を無効化することが不正アクセス防止に非常に有効です。
- SiteGuard WP Pluginの「XMLRPC防御」を有効にする。
- XMLRPCを完全に無効化するか、もしくは制限付きで使用する設定を選択し、保存。
ユーザー名漏えい防御
必須度:低
初期状態ではOFFになっています。
WordPressのログインユーザー名を知られたくない方はOFFにしておくと良いでしょう。
WordPressのユーザー名を防止する機能です。ユーザー名を推測して不正アクセスを試みることを防ぐために、ユーザー名の漏洩を防止することが重要です。
- SiteGuard WP Pluginの設定画面で「ユーザー名漏えい防御」を有効
更新通知
必須度: 中
WordPressやプラグインの更新通知は、脆弱性を防ぐために重要ですが、手動で更新する時間がない場合は自動更新を利用することも検討できます。
更新通知を受け取ることで、サイトのセキュリティを常に最新の状態に保つことができます。特に、セキュリティ関連の更新は迅速に適用することが求められるため、更新通知が重要です。
- SiteGuard WP Pluginの設定画面で「更新通知」機能を有効にします。
- 通知を受け取りたいメールアドレスを入力(通常はサイト管理者のメールアドレス)。
- 設定を保存します。
- WordPressの新しいバージョンやプラグインのアップデートがあった際に、指定したメールアドレスに通知が届くようになります。
WAFチューニングサポート機能の特徴
必須度: 低
WAFチューニングサポートとは、WAF(Web Application FireWall)の除外設定をする機能です。必要なとき以外は初期状態のまま何も設定しなくてもOKです。
- SiteGuard WP Pluginの設定画面で「WAFチューニングサポート」
- 初期状態:無効(必要に応じて有効/無効を選択してください)
- 変更があった場合にはルールを適用で保存してください
SiteGuard WP Pluginは、WordPressのセキュリティを簡単かつ効果的に強化できる便利なプラグインです。特に、管理画面の保護やブルートフォース攻撃対策など、重要な機能が多数備わっています。
初心者でも扱いやすく、インストールから設定まで数分で完了するため、まだ導入していない方はぜひ試してみてください。
