WordPressプラグイン

[WordPress]プラグイン・SiteGuard(サイトガード)設定のしかた

『これからのWordPressセキュリティ』本でも上がってた、
セキュリティプラグイン“SiteGuard WP Plugin”を試してみた備忘録です。

[WordPress]セキュリティ本レビュー
ワードプレス・セキュリティ対策。初心者にも最適な、対策あれこれが紹介されてる一冊です

WordPressがいかに危ういか…
プラグインを試してみると多少なりともわかります。

目に見える脅威がわかると、
急に自分ごととして感じるようになるヒトの心理⁇

 

ということで、
このプラグインの設定について載せてます。

管理画面のプラグイン ⇨
プラグイン追加から“SiteGuard WP Plugin”を検索し、インストール有効化へ。

サイトガードプラグインのあらまし

 

有効化できると管理画面に項目ができ…
ダッシュボードで設定状況を見ることができます。

設定状況の一覧ページ

 

このプラグイン、
有効化した時点で、以降のログイン画面が変わることとなります。

管理画面に作られてるSiteGuardから、
ログインページ変更をクリックしてみると。

ログインページの変更欄

変更先の情報は、
変更後のログインページ名に表示されているので、

新しいログインURLを忘れないよう…メモしておきます。
これまでの管理者画面だった“wp-admin”から変更されるワケです。

スマホのメモや、アナログだけど紙にして書いても良し👍

またメールにも、
ログインページが変更されました…と新アドレスが載った通知が届くので、捨てずに残しておきましょう

※無効になってるのを有効にしてもメールは届きます。

これまでのページをブックマークしてた場合は、
新しいアドレスにログインした際、そのページをブックマークしておきます。

 

ログイン画面URLが変更されるのと、
合わせて画像認証でひらがな入力を求められます。

サイトガードのデフォルトで、
ひらがな入力が設定にチェックされてるからでしょう(無効にもできる)。

試しにログインし直してから設定してもいいし、先に設定してからログインし直すでも良いと思います。

が、、慎重を期して…
先に設定してからログインし直すのがいいかもしれません👌

 

◉管理ページアクセス制限 ⇨ 無効🚫


サイトにログインしてる本人ですらも、
ログインから24時間経つと、再度ログインしなくてはいけない…ってモードです。自分は無効にしてます。

管理ページのアクセス制限

ログイン成功していない接続元IPをはじく仕組みで、

ログインできた場合(当人のアクセス)のIPが記録され許可される、、そうです。それでもリミットは24時間👆

設定したあとは変更を保存をお忘れなく。

 

◉ログインページ変更 ⇨ 有効


上でも上げましたが、
このプラグインを導入した時点で、これは有効になってます。

無効にもできますが有効が推奨

ログインページの変更画面

ちなみに、
デフォルトで振られてる数字部分ですが、あとから覚えやすいよう変更もできます(変更した文字列をお忘れなく😁)

オプションに、
管理画面からログイン画面にリダイレクトしない
って項目ありますが、

これはリダイレクトして、
ログイン画面が変更されてることを気づかせないよう、、✓点を入れることをおすすめします。

オプション項目の設定

変更を保存します。

 

◉画像認証 ⇨ 有効


基本はひらがながおすすめ。
ログイン時にユーザー名(またはメールアドレス)、パスワード、そしてひらがな入力が追加されます。

画像認証の設定欄

ログインページ
コメントページ
パスワード確認ページ
ユーザー登録ページに表示されます。

変更を保存します。

 

◉ログイン詳細エラーメッセージの無効化 ⇨ 有効


ログイン画面で一方を間違えると、
◯◯が正しくありません等々…どちらを間違えたか推測できるメッセージになることが多いですが。

これを均一メッセージで出す機能ってこと、、有効にします。

ログイン詳細エラーメッセージの無効化設定

変更を保存します。

 

◉ログインロック ⇨ 有効


どのくらいの間に、
何度間違えるとロックがかかるよ〜って設定です。

ログインロックの設定欄

期間:30秒
回数:3回
ロック時間:5分

30秒のあいだに、3回間違えると、5分ロックされる、、です。
変更を保存します。

 

◉ログインアラート ⇨ 有効


サイト作成者も含めて、
ログイン成功したデータがメールで届きます。

本人だけのログインならもちろん問題なし…
ですが、もし見知らぬ者がログイン成功してはいないか⁈のチェックがここでの目的です。

ちなみにPCのログインだけでなく、
自身のスマホからのログインも通知としてここに含まれます。

ログインアラートの設定欄

変更を保存します。

 

◉フェールワンス ⇨ 無効🚫


フェールワンス画面

作成者本人ですら、あえて一度はログインエラーさせるというモード。

ということは、2度ログインしなくてはなりません;
無効でよいとのこと、、

 

◉XMLRPC防御 ⇨ 有効


ピンバック無効化と
XMLRPC無効化と選択できますが、

実際のサイトアタック状況見ると、
XMLRPC無効化に✔︎点を入れたくなるでしょう😨

XMLRPCの設定欄

試しにピンバック無効化にして、
ログイン履歴を観察してみてください💦

ただ、XMLRPCを無効化すると
不都合になるプラグインが一部にあるようです。

変更を保存します。

 

◉ユーザー名漏えい防御 ⇨ 有効


ログイン時に必要なユーザー名。
同時に、なるべく表に出さないよう有効にしておきましょ。

REST API無効化に✓点も、検討に入れてみてください。

ユーザー名漏えい防御

変更を保存します。

 

◉更新通知 ⇨ 任意に


WordPressやプラグイン更新の通知が、メルアドに届くのを許可しますか?
という項目です。

更新通知の設定欄

WordPressの更新
プラグインの更新
テーマの更新のそれぞれでチェックできます。

変更を保存
します。

 

◉WAFチューニングサポート ⇨ 無効🚫


ここは特に何もせず、そのままでよいとのこと。

WAFチューニングサポート画面

 

◉ログイン履歴 ⇨ 要チェック


ログインアラートとも連動してますが、
サイトガードの画面上でログイン履歴が確認できるページです。

無事なにもなければ…
表示される履歴は自分がログインした記録だけ。これが正常な状態ってことになりますね。

ログイン履歴が見れるページ

でもここで、
狙われやすいWordPressの実情が見えてくるわけです。

ログイン成功までには至ってないけど、
けっこう頻繁に攻撃されてるならば…(攻撃されてるんですよこれが、、😱)

とあるログイン履歴の表示

サイトガードをはじめとした、
セキュリティを強化しましょ〜ってことなのです✊

コメント

タイトルとURLをコピーしました