どうも、ホワイトです。
WordPressの初歩的な部分を振り返っているつもりで書いているプラグインシリーズですが、結構出てくるもんですね。
今回はログインページと管理画面のセキュリティ向上のために使用する「SiteGuard WP Plugin」の設定と使用方法について。
SiteGuard WP Pluginをインストール&有効化する
いつものごとく、プラグインをインストール&有効化します。
有効化すると管理画面上部に「ログインページURLが変更されました。」が表示されます。
「新しいログインページURL」をクリックするとプラグインをインストールすることで設定された新しいログインページに遷移します。
その際、ユーザー名、パスワードのほかに表示された文字を入力する項目も表示されます。
ユーザー名とパスワードに変更はないので、表示されている文字を入力してログインします。
SiteGuard WP Pluginを設定する
管理画面のSiteGuard→ダッシュボードで設定状況を確認します。
一つずつ設定を見ていきます。
管理ページアクセス制限
文字通り、外部から管理ページへのアクセスを制限します。
ログインページ以外の下層ページに直接アクセスされて入り込まれてしまうことがないよう、ログインを行っていない悪意の第三者からの攻撃に対し404を返します。
設定に関する説明も記載されているので、これをよく読んでからONにします。
必ずONにしておきましょう。
ログインページ変更
上記はテスト用に変更したログインページ名なので、実際にアクセスしても表示されません。
プラグイン有効化と同時に変更されたログインページのURLをこちらで変更することができます。
ランダムに変更されたものよりも自分で決めた方が良いという場合はこちらから変更してください。
WordPressのログイン画面URLは誰でもすぐにわかってしまうので、これは必ず設定した方が良いです。
画像認証
先ほどログインページで出てきた認証用の文字の設定などを変更できます。
これもしっかりと設定しておきましょう。
ログイン詳細エラーメッセージの無効化
ログインエラー時に出されるエラーメッセージによって何が間違っているかを教えてしまうため、失敗したと同時にログインするためのヒントを与えてしまうことにもなります。
このエラーメッセージを同一のものを返すことで、侵入を試みようとする者にヒントを与えず管理画面を守ります。
ログインロック
何回かログインを試みて失敗したときに同一IPからのアクセスを一定時間ブロックします。
これを設定して自分でその設定のとおりに間違えたりしないように注意してください。
ログインアラート
管理画面にログインがあるとメールで通知してくれます。
もちろん自分自身でログインした場合にも通知があるので、多少鬱陶しいこともありますが、何が起きるか分からないので一応これもONにしておきます。
フェールワンス
これは便利なのかどうか微妙なところではありますが、正しいユーザー名とパスワードを入力しても一度はログインが失敗するという機能です。
正しく入力しても、それを弾くので相当セキュリティとしては良いと思うのですが、自分がログインの度にそれやられてもなぁ…と思うので、これはOFFのままにしてますが、必要に応じてONにしてください。
XMLRPC防御
う~ん、これも微妙なところですね。
説明に書いてあるとおりXMLRPCを無効化して他のプラグインに影響が出るといけないので、ピンバック無効化は行っても良いと思いますね。
ピンバックによる攻撃もあるのでピンバック無効化を選択してONを設定します。
更新通知
これは設定画面のとおり、それぞれに更新があったときに通知してくれる機能です。
これも一応ONにしていますが、ログインすれば管理画面上に現れることなのでログイン頻度が多い人はOFFでも構わないと思います。
WAFチューニングサポート
契約しているレンタルサーバーのサービスでWAFがある場合、WordPress内での誤検知を回避する機能です。
サーバーにWAFが設定されていればON、設定されていなければOFFにします。
詳細設定
説明どおりIPアドレスの取得方法が設定できます。
これは初期設定のまま「リモートアドレス」にしておいて大丈夫です。
ログイン履歴
ログイン履歴が見られるので重宝しています。
時折、同IPから凄い数のアクセスがあり、結果のところに全て失敗と表示されていて、いかにも攻撃されてたんだなとわかるようなときもあります。
特にON・OFFないですが、デフォルトで履歴残してくれて助かりますね。
意外と設定項目が多いけど、難しいことはないので、WordPressを使うならこのプラグインはインストールしておいた方が良いと思います。