
『これからのWordPressセキュリティ』本でも上がってた、
セキュリティプラグイン“SiteGuard WP Plugin”を試してみた備忘録です。

WordPressがいかに危ういか…
プラグインを試してみると多少なりともわかります。
目に見える脅威がわかると、
急に自分ごととして感じるようになるヒトの心理⁇
ということで、
このプラグインの設定について載せてます。
管理画面のプラグイン ⇨
プラグイン追加から“SiteGuard WP Plugin”を検索し、インストール ⇨ 有効化へ。
有効化できると管理画面に項目ができ…
ダッシュボードで設定状況を見ることができます。
このプラグイン、
有効化した時点で、以降のログイン画面が変わることとなります。
管理画面に作られてるSiteGuardから、
ログインページ変更をクリックしてみると。
変更先の情報は、
変更後のログインページ名に表示されているので、
新しいログインURLを忘れないよう…メモしておきます。
これまでの管理者画面だった“wp-admin”から変更されるワケです。
スマホのメモや、アナログだけど紙にして書いても良し👍
またメールにも、
ログインページが変更されました…と新アドレスが載った通知が届くので、捨てずに残しておきましょう。
※無効になってるのを有効にしてもメールは届きます。
これまでのページをブックマークしてた場合は、
新しいアドレスにログインした際、そのページをブックマークしておきます。
ログイン画面URLが変更されるのと、
合わせて画像認証でひらがな入力を求められます。
サイトガードのデフォルトで、
ひらがな入力が設定にチェックされてるからでしょう(無効にもできる)。
試しにログインし直してから設定してもいいし、先に設定してからログインし直すでも良いと思います。
が、、慎重を期して…
先に設定してからログインし直すのがいいかもしれません👌
◉管理ページアクセス制限 ⇨ 無効🚫
サイトにログインしてる本人ですらも、
ログインから24時間経つと、再度ログインしなくてはいけない…ってモードです。自分は無効にしてます。
ログイン成功していない接続元IPをはじく仕組みで、
ログインできた場合(当人のアクセス)のIPが記録され許可される、、そうです。それでもリミットは24時間👆
設定したあとは変更を保存をお忘れなく。
◉ログインページ変更 ⇨ 有効
上でも上げましたが、
このプラグインを導入した時点で、これは有効になってます。
無効にもできますが有効が推奨。
ちなみに、
デフォルトで振られてる数字部分ですが、あとから覚えやすいよう変更もできます(変更した文字列をお忘れなく😁)
オプションに、
管理画面からログイン画面にリダイレクトしない
って項目ありますが、
これはリダイレクトして、
ログイン画面が変更されてることを気づかせないよう、、✓点を入れることをおすすめします。
変更を保存します。
◉画像認証 ⇨ 有効
基本はひらがながおすすめ。
ログイン時にユーザー名(またはメールアドレス)、パスワード、そしてひらがな入力が追加されます。
ログインページ、
コメントページ、
パスワード確認ページ、
ユーザー登録ページに表示されます。
変更を保存します。
◉ログイン詳細エラーメッセージの無効化 ⇨ 有効
ログイン画面で一方を間違えると、
◯◯が正しくありません等々…どちらを間違えたか推測できるメッセージになることが多いですが。
これを均一メッセージで出す機能ってこと、、有効にします。
変更を保存します。
◉ログインロック ⇨ 有効
どのくらいの間に、
何度間違えるとロックがかかるよ〜って設定です。
期間:30秒
回数:3回
ロック時間:5分
30秒のあいだに、3回間違えると、5分ロックされる、、です。
変更を保存します。
◉ログインアラート ⇨ 有効
サイト作成者も含めて、
ログイン成功したデータがメールで届きます。
本人だけのログインならもちろん問題なし…
ですが、もし見知らぬ者がログイン成功してはいないか⁈のチェックがここでの目的です。
ちなみにPCのログインだけでなく、
自身のスマホからのログインも通知としてここに含まれます。
変更を保存します。
◉フェールワンス ⇨ 無効🚫
作成者本人ですら、あえて一度はログインエラーさせるというモード。
ということは、2度ログインしなくてはなりません;
無効でよいとのこと、、
◉XMLRPC防御 ⇨ 有効
ピンバック無効化と
XMLRPC無効化と選択できますが、
実際のサイトアタック状況見ると、
XMLRPC無効化に✔︎点を入れたくなるでしょう😨
試しにピンバック無効化にして、
ログイン履歴を観察してみてください💦
ただ、XMLRPCを無効化すると
不都合になるプラグインが一部にあるようです。
変更を保存します。
◉ユーザー名漏えい防御 ⇨ 有効
ログイン時に必要なユーザー名。
同時に、なるべく表に出さないよう有効にしておきましょ。
REST API無効化に✓点も、検討に入れてみてください。
変更を保存します。
◉更新通知 ⇨ 任意に
WordPressやプラグイン更新の通知が、メルアドに届くのを許可しますか?
という項目です。
WordPressの更新、
プラグインの更新、
テーマの更新のそれぞれでチェックできます。
変更を保存します。
◉WAFチューニングサポート ⇨ 無効🚫
ここは特に何もせず、そのままでよいとのこと。
◉ログイン履歴 ⇨ 要チェック
ログインアラートとも連動してますが、
サイトガードの画面上でログイン履歴が確認できるページです。
無事なにもなければ…
表示される履歴は自分がログインした記録だけ。これが正常な状態ってことになりますね。
でもここで、
狙われやすいWordPressの実情が見えてくるわけです。
ログイン成功までには至ってないけど、
けっこう頻繁に攻撃されてるならば…(攻撃されてるんですよこれが、、😱)
サイトガードをはじめとした、
セキュリティを強化しましょ〜ってことなのです✊



















コメント