こんにちは、Rei(@Rei_Grand)です。
突然ですが質問です。
「あなたのブログはセキュリティ対策してますか?」
こう聞かれて、何のことか分からないという方、意外と多いです。
ブログを始めたばかりの人は特にそうです。
実は、WordPressは初期状態のままだと、セキュリティ面が弱く「不正ログイン」「コメントスパム」等のリスクがあります。
現にあなたのブログ管理画面に、アクセスしようと思えば可能ですよ。
「サイト名/wp-admin/」とすれば簡単にログイン画面が出てきます。
初期URLなので、変えてない人は全員この方法でアクセスできます。
自分のブログに勝手にログインされて乗っ取られる、大量のコメントを送られてサイトが落ちてしまうなど非常に怖いですよね。
そういったケースを未然に防ぐことが可能なプラグイン
「SiteGuard WP Plugin」をご紹介します。
しっかりとセキュリティ対策を施し、安全にサイト運営しましょう。
この記事で分かること
- WordPressのセキュリティリスクとは
- WordPressにセキュリティ対策が必要な理由
- セキュリティ対策プラグイン「SiteGuard WP Plugin」の効果と使い方
- 管理画面のログインURLを変える方法
- 不正ログインを防ぐ方法
目次
WordPressのセキュリティリスクとは
冒頭で軽く触れましたが、WordPressのセキュリティリスクにはどのようなものがあるのでしょうか。
以下にまとめてみました。
・管理画面のログインURLが丸わかり「サイト名/wp-admin/」とするだけ
・無償のオープンソースなので、攻撃者にセキュリティホールが発見されやすい
・ユーザーが多数いるため、セキュリティ意識の低い初心者が多く、ターゲットになりやすい
WordPress自体は、特段セキュリティが弱い訳ではありませんが、メジャーでしかも無償オープンソースであるが故にセキュリティ被害も必然的に多くなるという事です。
一般的に「WordPressセキュリティが弱い」とだけ言っているところは、WordPressを落として違う商品を売りたい場合が多い印象です。
しかしながら、このログインURL丸わかりというのは流石に直したいですよね笑
一部のレンタルサーバー会社はこのプラグインを推奨プラグインとして挙げています。
「ロリポップレンタルサーバー - WordPressへの攻撃に対する検知・防御機能に関して」
レンタルサーバー会社が推奨するほどですから、まだ被害にあったことがないからと言って油断するのは良くないですね。
このプラグインは、ログインURLの変更のみならず、他のセキュリティ対策も施せますのでしっかりと設定することでサイトをより安全に保つことができます。
SiteGuard WP Plugin の特徴
SiteGuard WP Pluginは、インストール&設定するだけで、不正ログイン等を防ぎ、サイトのセキュリティを高めてくれるWordPressプラグインです。
主な効果は以下です。
SiteGuard WP Pluginの効果
- 管理ぺージのURLを変更
- 管理ページへのアクセスをブロック
- ログインやコメント投稿に画像認証を追加
- ログインに一定回数失敗するとロック
- ログイン、プラグインの更新、テーマの更新をメールで通知
こうした機能は、WordPressには搭載されていないため、プラグイン一つでここまでしてくれるのはありがたいですよね。
より詳しい説明は、日本語の公式サイト「JP-Secure」に掲載されています。ガイドラインもしっかりしており安心です。
では、インストール方法から見ていきます。
SiteGuard WP Pluginのインストール方法と有効化
WordPress管理画面から「プラグイン」⇒「新規追加」をクリックします。
右側の検索窓に「SiteGuard WP Plugin」と入力し、表示されたら「今すぐインストール」、インストールが終わったら「有効化」ボタンをクリックします。
「ログインぺージURLが変更されました」とメールが届く
このプラグインは有効化すると、自動的にログインURLを変更してくれます。
プラグインページにメッセージが表示されますので、受信メールを確認して、ブックマークしておいて下さい。
※ここでログインし直す必要はありませんので、このまま設定を続行します。
SiteGuard WP Pluginの設定方法
WordPress管理画面の左メニューに「SiteGuard WP Plugin」が追加されているので選択します。
※先程のプラグインページのメッセージの「設定変更はこちら」から飛んでもOKです。
さっそく設定していきましょう。
ダッシュボード
こちらは設定のサマリーです。
何を設定しているか、ぱっと見で分かるので管理しやすいです。
初期状態だと以下のようになっているかと思います。
設定し終わったら最後にもう一度確認してみるとよいです。
管理ページアクセス制限
「サイト名/wp_admin/」へのログインを制限します。
デフォルトはOFFですが、ONにしておきましょう。※加えて、変更後のログインURLを忘れないように
「変更を保存」します。
ログインページ変更
有効化した際に、自動的に変更されたログインURLを確認または再変更することができます。
デフォルトだと「サイト名/wp_admin/」から「変更後URL」へリダイレクトされるので便利なのですが
これだと変更後URLがバレてしまう恐れがあるので、推奨できません。オプションにチェックを入れましょう。
「変更を保存」します。
画像認証
設定することでログインの難易度があがり、機械的な攻撃から守ってくれます。
設定はすべてデフォルトの「ひらがな」でOKです。変更したい場合は、お好みでどうぞ。
変えた場合は、「変更を保存」します。
ちなみにブルートフォース攻撃、リスト攻撃はこういったものです。
◆ブルートフォース攻撃(総当たり攻撃)
総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。
引用:「総当たり攻撃」Wikipediaより
◆リスト攻撃(パスワードリスト型攻撃)
パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)一覧をもとにログインを試みる手法である。
引用:「パスワードリスト型攻撃」Weblio辞書より
要するには、ありとあらゆるパターンを打ちまくって無理やり突破するという手法です。
人間ではなくプログラムを作成して機械的に短時間で何千~何万回と攻撃します。
なので画像認証などのパスワード以外の追加認証を加えると、突破される確率は格段に下がるということです。
個人のサイトがこういう被害にあう事は稀であると思いますが、サイトの知名度が上がってくると無くはないと思ってください。
例として大手の企業サイトなどは的にされやすいです。設定しておくに越したことはありません。
ログイン詳細エラーメッセージの無効化
こちらは、ログインに失敗した時に返すエラーメッセージを具体的にしないことで、合っている部分と間違っている部分を攻撃者に教えないというものです。
具体的には、設定画面の説明の通りです。
「ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。」
ユーザー名が正解で、パスワードだけ間違っているとすると、「パスワードが間違っています」とメッセージを返すのではなく単に「エラーです」と返すだけになります。
設定は変えず「ON」のままでOKです。
ログインロック
ログインロックの基準を設定することができます。
デフォルトでもOKですが、お好みで設定していただいて結構です。
デフォルトは5秒以内に3回間違えると1分ロックします。
人の手では無理なレベルですが、プログラムで機械的にやれば簡単に達します。
ログインロックは機械的な攻撃に特に強いです。
変えた場合は、「変更を保存」します。
ログインアラート
ログインがあったことをメールで通知します。心当たりのないログインに対してすぐに対処ができます。
メールアドレスはWordPressの設定にあるものが使われます。
特に設定を変更する箇所はありません。
フェールワンス
正しいログイン情報を入力しても、1回だけログインが失敗するという一風変わった設定です。
セキュリティを高めたい方は、設定してもOKですが、OFFのままでもOKです。
ですが、ある程度のPV数(月間数万程度)を稼げるようになったのであれば、ONの方が良いと思います。
変えた場合は、「変更を保存」します。
XMLPRC防御
少し難しい設定ですが、デフォルトのままでもOKです。
無理に変更すると他のプラグインを妨害する恐れがあります。
ピンバックとは、他者のブログ記事等のURLリンクを設置したことを、参照元へ通知する機能です。
この機能には脆弱性があるため、無効化することを推奨します。通常、なくても困ることはありません。
特に設定を変える必要はありません。
更新通知
こちらは補助機能のようなもので、変更を検知するとメールで通知してくれます。
プログラムは常に脆弱性がつきまとうものなので、更新内容をチェックしたり、脆弱性が疑われていないかチェックする等はするに越したことはないです。
しかし、個人ブログで毎日そのような事をするのは、疲れるだけですので、無理にやる必要性はありません。
変えた場合は、「変更を保存」します。
WAFチューニングサポート
難しい設定ですが、特に追加する必要はありません。もし、設定をするには別製品「SiteGuard Lite」が必要です。
設定を間違えるとコンテンツが遮断されたりするので無理に設定せずともOKです。
特に設定はしないので、次へ行きます。
詳細設定
こちらも、専門的な知識が必要な設定なので、特には設定しません。デフォルトのままでOKです。
ログイン履歴
こちらはログイン履歴を参照する画面です。
心当たりのないログインがあった場合は、ログインURLを変更する等して対処しましょう。
設定は以上です。お疲れ様でした。
SiteGuard WP Pluginの使い方
設定をすれば、自動的に機能しますので、特に覚えることはありません。
ですが下記の事には気をつけてください。
・ログインURLを忘れないように
・ログインURLを変更したら確実にブックマークしておく
・自ら設定したログインルールに抵触しないように
もし、ログインURLを忘れた場合は、サーバーから直接プラグインを無効化しなくてはならないため、気をつけてください。
無効化には「.htaccessファイル」を修正する必要があります。
サーバーからプラグインを無効化する方法は検索すれば出てきますが、すべてのサーバーの例があるかは分からないのであしからず。(Xserverの例は見つかりました)
本当に困った場合は、レンタルサーバー会社へ連絡を取り、事情を説明し無効化の手順を聞いてください。
余談:保存中のまま終わらない
余談ですが、たまにWordPress編集画面で「保存中」となったまま終わらない場合は、そのページをそのままにしてブックマークから、ログインURLへアクセスし再ログイン⇒もう一度同じ記事の編集へ移ると直ります。これは、SiteGuard WP Pluginを導入していないときにも有効なので覚えておくとよいです。もちろん、通信品質によっては完全に保存されていない場合があるので、残しておいた保存中ページから必要な個所をコピペして下さい。保存中ページは閉じてOKです。
まとめ:SiteGuard WP Pluginでしっかりセキュリティ対策を
自分はブルートフォース攻撃知らないし、どうせ個人を狙う訳ないと思っているなら、それは危険な考えです。
無料でしっかりとしたセキュリティ対策を施せるこのプラグインは必須レベルと言えるでしょう。
勿論、ログインページがわかるからと言って、簡単にログインはできません。しかし、万が一被害にあってからでは遅いです。
1年2年と続けてきたブログが一瞬でなくなる可能性だってゼロではありません。
これを機にきちんとセキュリティ意識を高めつつ、ブログ運営をしていきましょう。
です。 突然ですが質問です。 「あなたのブログはセキュリティ対策 ...){kind=link}