WordPressのセキュリティ対策をちゃんとしていますか?
「まだ、セキュリティ対策していなよ!」というあなた!あなたのWordPressサイトはとても危険にさらされていますよ!!
なので、できるだけ早いうちにあなたのWordPressサイトにセキュリティ対策をしておきましょう。
でも「セキュリティ対策ってWordPress初心者には難しいんじゃない?」なんて思っちゃうことでしょう。自分も「難しそう、もっとアクセスが増えてからでもいいんじゃない?」なんて思っていましたので。
でも、どうやら早いうちからセキュリティ対策はしておいたほうがいいらしい。
今回は、WordPress初心者さんでも比較的簡単にセキュリティ対策ができる『SiteGuard WP Plugin』のご紹介とあらくまが設定したことについてお伝えしていきます!
SiteGuard WP Pluginとは
WordPressにインストールするだけでセキュリティ対策ができる優れたプラグインです。
SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。
管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。
- 不正ログイン
- 管理ページ(/wp-admin/)への不正アクセス
- コメントスパム
SiteGuard WP Plugin:JP-Secure
インストールして有効化するだけで管理ページとログインページを守ることができます。
SiteGuard WP Pluginの各設定については、のちほどお伝えします。
SiteGuard WP Pluginのインストールと有効化
まずはSiteGuard WP Pluginをインストールして有効化しますよ!
「ダッシュボード」→「プラグイン」→「新規追加」と進み、「プラグインの検索」へSiteGuard WP Pluginと入力します。
検索されたプラグイン一覧の左上にSiteGuard WP Pluginがありますので「インストール」をクリック。
インストールが終わると「有効化」にボタンが変わるのでクリック。
有効化が終わると「インストール済みプラグイン」に画面が変わるのでSiteGuard WP Pluginが追加されているのを確認しましょう。また、左サイドにSiteGuardが追加されますので確認しておきましょう。
これでSiteGuard WP Pluginのインストールと有効化は終了!
SiteGuard WP Pluginを設定していこう!
左サイドにある「SiteGuard」→「ダッシュボード」をクリックすると、SiteGuard WP Pluginでできるセキュリティ対策を知ることができます。
SiteGuard WP Pluginを有効化するだけで、緑色でチェックされたものが「有効化(ON)」されています。
あらためてSiteGuard WP Pluginで設定できるものは以下の10項目になります。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
すでにほとんどの機能が有効化されているんですけど、一つ一つみていきましょう。
管理ページアクセス制限を「OFF(無効)」
管理ページアクセス制限とは、ログインしたことのないIPアドレスから WordPressの管理画面にアクセスしようとしたときに無効(404 Not Foundページを表示)する機能です。
ただ、設定をどうしたらいいのか調べたところ、「WordPressのセキュリティのみを考えた場合はON(有効)にしておくべき」と書かれていましたが、「ON(有効)にしてしまうと、外出先(いつもとは違うIPアドレス)でWordPress管理画面を表示できなくなる」とのことだったのでOFF(無効)に設定しておきました。
外出先などから、この「あらくまの一粒万倍ブログ」を更新することもあると思ったので。
ログインページ変更を「ON(有効)」
WordPress ログインページのアドレスを変更 することができます。
SiteGuard WP Pluginを有効化するとWordPressログインページのアドレスが「login_<5桁の乱数>」になっていますが、この「login_<5桁の乱数>」を変更することができます。
この「あらくまの一粒万倍ブログ」では login_<5桁の乱数>の部分も好きなものへ変更 しておきました。
ログインページのアドレスを 特定されにくくしておくってのは大切 なことだと思ったので。
注意! 運営しているWordPressサイトへのログインページのアドレスを変えることになりますので、変更後のログインページがわからなくならないようにブックマークを忘れずに!!
画像認証を「ON(有効)」
WordPressにログインするときにユーザー名とパスワードの他に、追加入力として 画像で表示された文字を入力させる項目を設定 させることができます。
画像なんで機械的には読めない(?)ですから、不正ログイン対策を強化することができます。
ログインページだけではばく、コメントページ、パスワード確認ページ、ユーザー登録ページにも画像認証を追加させることができます。
また「ひらがな」「英数字」「無効」と選択できますが、ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページのすべてに 「ひらがな」を選んでおくと 良いとのことだったので、素直に「ひらがな」へチェックを入れておきました。
ログイン詳細エラーメッセージの無効化を「ON(有効)」
ログインに失敗したときに表示されるメッセージを、ユーザー名を間違えた場合、パスワードを間違えた場合、画像認証を間違えた場合、すべて同じメッセージにする機能です。
ログインに失敗したときに「ユーザー名」「パスワード」「画像認証」のどこで失敗したのかを知られないための機能です。
ログインロック「ON(有効)」
繰り返しログインを失敗した場合に一定の間無視させるための機能です。
要は ログインに挑戦できる回数を制限 するということで、ログインロックはとても有効な機能だと思います。
今のところ「あらくまの一粒万倍ブログ」は始めたばかりなので、ログインロックの設定はデフォルトのままにしてありますが、今後、不正ログインが増えてきた場合には、設定をかえようと思っています。
ログインアラートを「ON(有効)」
WordPressにログインされたときに メールで通知 してくれる機能です。が、もしも自分以外の人からログインされた場合は手遅れの場合が多いでしょう。
デフォルトのままで良いと思いますが、メール本文でメールの内容を変更することができます。
自身でログインしても通知がくるのでウザいと感じることもあるかと思いますが、万一のことを考えて「ON(有効)」にしておくと良いのではないでしょうか。
フェールワンスを「ON(有効)」
この機能は「ON(有効)」にすると、ログイン情報が 正しく入力されていても1度だけログインに失敗 する機能です。
この機能をON(有効)にすると、自分でログインするときにも必ず1回失敗する ことになりますので面倒くさいのですが、セキュリティ対策という観点からはON(有効)にしておくべきではないでしょうか。
XMLRPC防御を「ON(有効)」
ピンバックまたはXMLRPCのどちらかを無効化することによってセキュリティ対策をする機能です。
正直なところ「ピンバック」「XMLRPC」ともにチンプンカンプン???だったので、いろいろと調べたところ、とくにこのブログをやっていくのに支障はなさそうだったのでデフォルトのまま「ON(有効)・ピンバック無効化」にしてあります。
更新通知を「OFF(無効)」
ここでは、WordPressの更新情報・プラグインの更新情報・テーマの更新情報をメールで受け取るかどうかの設定 をします。
自分の場合は、この「あらくまの一粒万倍ブログ」を毎日更新することはできていないけど、WordPressへは1日1回はログインしているので「OFF(無効化)」しています。
頻繁(毎日とか2~3日に1回)にWordPressへログインする場合には「OFF(無効)」で十分だと思います。
WAFチューニングサポートを「OFF(無効)」
WAF(SiteGuard Lite)は 正常なアクセスを誤検知してしまう場合 があるそうで、この機能をON(有効化)することで誤検知を防ぐルールを作ることができるそうです。
ただ、デフォルトでOFF(無効化)になっているということは 基本的にOFF(無効化)で問題ない ということだと思ったので、デフォルトのままの設定にしておきました。
使っているサーバーによってこの機能は必要ないとのことです。
おわりに
以上がWordPress初心者がやっておくべきSiteGuard WP Pluginでのセキュリティ対策です。
セキュリティ対策は早くやっておいてほうが良いと思うので、まだ対策をされていない場合は今回を機に対策しておきましょう。
WordPressでブログを始めたばかりの自分には、正直「セキュリティ対策って何から始めたらいいの?」っていう感じでしたが、いろいろと調べていくうちに『簡単なものからやっていくといい』ということで紹介されていたSiteGuard WP Pluginを導入しました。
とりあえず、この「あらくまの一粒万倍ブログ」でのセキュリティ対策はSiteGuard WP Pluginだけなんですけど、これだけで大丈夫なのかな?
WordPress初心者の方で「セキュリティ対策をどうしたらいいの?」と思っていた、あなたの参考になれば幸いです。
