WordPressを長期運営していると、心配になってくるのは、第三者による不正ログインや、プラグインの脆弱性によるウィルスの感染などです。
アクセスが集まり始めると目をつけられる可能性が高いし、いろんな方法で攻撃されることもあります。
アクセスが集まらないから絶対に被害に合わないという訳ではないと思うので、
私は、ブログを立ち上げた時点の早い段階でセキュリティ対策をしておくのが一番安心だと考えています。
それではかなり有効性の高い【プラグイン】SiteGuard WP Pluginの使い方を解説していきたいと思います。
目次
セキュリティ強化の重要性
ブログ運営を始めた当初はセキュリティっていまいちピンときていなかったのですが、少しずつセキュリティを強化して対策をしておく重要性がわかってきました。
WordPressは豊富なプラグインを利用できるし、機能も様々です。しかし便利な分、プラグインですと脆弱性などにより不正のログインやあらゆる方法で攻撃をされる危険も潜んでいます。
不正ログインされるとどうなるのか?
サイトを乗っ取られてしまったり、乗っ取られたサイトを勝手に更新されて、全く違う情報に書きかえられたりもします。
その結果マルウェアにより悪質なファイルを拡大感染させたりして最終的にはサイトの復旧も難しくなるということもありえます。
あらゆる攻撃とは?
ブルートフォース攻撃→Wordpressのログインページに不正アクセスしようと、あらゆるパスワードをプログラムを使い突破してこようとしてくる攻撃
リスト攻撃→あらかじめ何かの手法を用いリスト化されたIDやパスワードを入手、これらを利用してWedサイトに不正アクセスをする攻撃
DDos攻撃→サーバー停止状態を狙って、一時的に通量や負荷を増加させる攻撃
このようにWordPressのサイトでブログ運営をしている限り、サイトがいつ被害にあるか分かりません。
せっかく立ち上げたサイトを育てる中で、顔の見えない相手やウィルス感染により全てが水の泡になるのは絶対に避けたいとことですよね。
完全に100%守りきるのは難しいのですが、できる限りの対策は行なっていきましょう!
【Wordpressのセキュリティ強化対策プラグイン】Site Guard WP Pluginについて
SiteGuard Wp Pluguinは、“株式会社ジェイピー・セキュア”が提供しているプラグインです。
主にセキュリティ関連製品の開発・販売やサポートを行なっているか会社なので非常に信頼性も高いと言えるでしょう。
今回セキュリテ強化に有効なプラグインSite Guard WP Pluginを紹介していきたいと思います。
このプラグインで取れるセキュリティ対策は3つ
- 不正ログイン
- 管理ページ(/wp-admin)への不正アクセス
- スパムコメント
ぜひインストールして有効化、設定をしていきましょう!
【プラグイン】SiteGuard WP Pluginをインストールして有効化する前に…
プラグインをインストールして有効化すると、自動的にログインページのURLが変更されます。
なので有効化までされたら、すぐに、管理画面(ダッシュボード)>SiteGuard>ログイン変更ページ
変更ページにあるURLを確認してブックマークした後に設定を一旦OFFにしてくださいね!
ログインURLが自動で変わり、ONの状態でログアウトしてしまうと、通常の管理画面にたどり着けなくなります。
念のため、変更後のログインページ名のURLをブックマークしておきましょう!
設定する箇所はこちらです。
【プラグイン】SiteGuardの設定方法と機能をご紹介します
それでは細かい設定に入りますね^^
SiteGuard>ダッシュボードをクリックして見ると、下記のような設定画面に切り替わります。
それでは、10個の項目を詳しく上から1つ1つ設定していきましょう。
①管理ページアクセス制限
WorpPressは通常「http//ブログ名/wp-login/php」と入力すれば、誰もがログインページにアクセスができますが、このページをONにしておくと、通常のログインページを開くことができなくなります。
不正ログイン対策になるので有効的です!!
②ログインページ変更
これは先ほどインストール、有効化した後に設定したログイン変更画面です。
②変更ごログインページ名のURLをブックマークをされたと思いますが、このURLは自分で変更することが可能です。
基本的に変更後のログインページ名のURLは「http://ブログURL/login_5桁の乱数」に自動的に設定されています。
先ほどOFFの設定をONにしてくださいね!ONにするとメールアドレスに変更通知が届きますよ^^
③画像認証
画像認証ページをONにしておくと、サイトのログインページ内に画像認証ができる機能がつきます。
これはプログラムによって不正のアクセスなどを妨げる対策になるので有効的です。
④ログイン詳細エラーメッセージ無効化
このページをONにするとログイン失敗時に表示されるエラーが全て同じになるという機能がついてきます。
通常アクセスに失敗の際、「ユーザー名が間違っています」または「パスワードが間違っています」というようにどこで認証が失敗したのか相手にわかってしまうことがあり、それをヒントにサイトに不正ログインをされる可能性もあるのです。
なので、全て同じエラーのメッセージで返せる設定をすれば、相手に攻略のヒントを与えずにすむという対策を取ることができます。
⑤ログインロック
このページをONにしておくと、ログインする際の回数・期間・ロック時間の制限をかけることができます。
適当なパスワードを入れてログインを試みてくるブルートフォース攻撃などには非常に有効な機能なのです。
⑥ログインアラート
ONにしておくと、ログインがあった時、メールで通知をしてくれる機能がついてきます。
こんな感じで登録のアドレスに届きます。
万が一自分以外の人がログインページを突破してきた場合、
相手は大抵パスワードの変更にしかかるのでこの通知がきたら、時すでに遅しという状態がほとんどのようです。
なので、この機能にはあまり意味がないようですね。
⑦フェールワンス
ONにしておくと、正しいログイン除法を入力しても最初の1回目だけは必ずログインが失敗してしまう機能がついてきます。
サイトの管理者側からするとログインの手間が1つ増えます。
しかし、リスト攻撃などで突破しようとする対策としてはどんなパスワードでも必ず最初の一回めはブロックされるので友好的な対策です。
⑧XMLRPC防御
ONにしますと、ピンバックを無効化にできる機能がついています。
最初の方に解説させていただいたDDos攻撃の対策になります。
選択するのは「ピンバック無効化」です。
「 XMLRPC無効化」を選択すると、他のプラグインに影響を及ぼす可能性があるためです。
⑨更新通知
ONにしておくとWordPressのプラグインやテーマ更新のお知らせをしてくれる機能がついてきます。
基本的に毎日サイトにログインして、こまめに未更新があるか確認できればOFFでもいいでしょう。
⑩WAFチューニングサポート
ONにしますと、WAPというプラグインがインストールされて入れば「エラー」を回避するためのルール設定ができる機能があります。
インストールされていなければ、OFF で問題はありません。
念のため、下記にデフォルトの設定画面と当サイトでの設定画面の参考例を紹介しておきますね。
まとめ〜最低限やるべきこと〜
これから私たちは、誰だかわからない相手に悪用されたりしないように、サイトを守る!ということにも徹底していかなければ、2,3年と長期で運営していくほどサイトがウィルスなどに侵された時は非常に損失は大きいです。
セキュリティ対策のうちの1つとして、今回ご紹介したプラグインSiteGuard WP Pluginは最低限やるべきことだと考えています。
WordPress でブログを立ち上げている運営者であれば、誰にでも危険が潜んでいます。
今回の記事を参考に最低限のセキュリティ対策としてプラグインを導入してみてくださいね。
シゴト道具はPC一つだけです。
しかし、
最初はこんな暮らしができるなんて、これっぽっちも思っていませんでした。
私がこの方法に出会えたのは「他人と比較される人生をやめた」からです。
好きなものは好き!嫌いなものは嫌い!と本音をハッキリ言えたり、好きな人と好きなだけ好きなことをするために「自分軸の生き方」を選びました。
そうやって今は常に本来の姿(素の自分)で、場所に縛られないシゴトを楽しみながら、自由な旅人人生を送ることができています。
どうしてKanakoが世界中をシゴト場にして自由気ままに暮らすことができるようになったのか?
ご興味のある方はプロフィールをご覧になってみてくださいね!!
こちらです。