WordPressのブルートフォースアタック対策プラグイン『SiteGuard WP Plugin』の使用方法
WordPressは世界で最もメジャーなCMSなので、ハッキングの対象にされやすいって知っていますか?
日本国内でもWordPressの利用者の増加に伴い、被害にあう人も増えているようです。
なかでも、近年ブルートフォースアタック(総当たり攻撃)の被害が増加しているようなので、ブルートフォースアタック対策に便利なプラグイン『SiteGuard WP Plugin』を紹介します。
※ブルートフォースアタックとは、ログインIDとパスワードをすべての組み合わせで試して不正ログインする方法で、総当たり攻撃とも呼ばれます。単純な方法ですがセキュリティ対策を行っていない場合絶大な威力を発揮します。
また、WordPress全般のセキュリティに関しては以下の記事をご覧ください。
https://asobiseeker.com/?p=417スポンサーリンク
SiteGuard WP Pluginとは
SiteGuard WP Pluginは国産のWordPress用セキュリティプラグインです。
管理ページとログインページの保護がメインで、以下の攻撃を防ぐことが出来ます。
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
特徴としては、以下の点が挙げられます。
- 開発・提供がネットセキュリティ大手のJP-secureなので信頼できる。
- 国産プラグインなので設定も日本語で簡単
- 不正ログインに対する防御機能が豊富で、自由に組み合わせられる
- XML-RPC防御機能がある(攻撃対象になりやすいファイル)
JP-secureといえばWAFを開発・販売するウェブセキュリティの専門企業で、官公庁やメガバンク等の大企業にも選ばれているスゴイ会社です。
そんな会社が作ったプラグインなので、使いやすさや安全性、今後のアップデートなども期待できますね。
SiteGuard WP Pluginの機能
SiteGuard WP Plugin の機能は以下になります。
- 管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 - ログインページ変更
ログインページ名を変更します。 - 画像認証
ログインページ、コメント投稿に画像認証を追加します。 - ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 - ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。 - ログインアラート
ログインがあったことを、メールで通知します。 - フェールワンス
正しい入力を行っても、ログインを一回失敗します。 - XMLRPC防御
XMLRPCの悪用を防ぎます。 - 更新通知
WordPress、プラグイン、テーマの更新を、メールで通知します。 - WAFチューニングサポート
WAF (SiteGuard Lite)の除外リストを作成します。
これだけのセキュリティ機能がこのプラグイン一つで管理できます。
自分に必要な機能だけをONにして、自由にカスタマイズできる点もありがたいです。
インストール〜設定の手順
さっそくSiteGuard WP Pluginをインストールして設定していきましょう。
設定も簡単ですよ!
まずは、管理ページから『プラグイン』→『新規追加』をクリックします。
右上の検索窓(赤枠)で「SiteGuard」と入力すると、以下のプラグインが表示されます。
『今すぐインストール』をクリックします。
インストールが終わったら『有効化』をクリックします。
有効化が終わると、「ログインURLが変更されました」と表示されます。新しいURLをブックマークするのは後回しにして、まずは設定を行います。
画像左下の赤枠『SiteGuard』をクリックして設定画面を開きましょう。
こちらが設定画面です。緑色のチェックが有効になっている機能です。
上の機能から順に説明していきます。
設定方法
SiteGuard WP Pluginの機能の設定方法を説明していきます。
各機能の説明はしますが、どれをONにするかOFFにするかは自由なんで好きに決めちゃってください。
どれをONにすればいいかわからない!って方は最後に私の設定を紹介してるんでそんなかんじでいいと思います。(ハナホジー)
管理ページアクセス制限
ログインしていないIPアドレスのアクセスを拒む機能です。
管理ページ(/wp-admin以降)にログインせずにアクセスすると404エラーになります。
ログインしてアクセスした場合は、IPアドレスが記録されアクセスが許可されます。
記録されたIPアドレスは24時間で順次削除されます。
除外パスは、基本的にそのままでOKです。
この機能はデフォルトではOFFになっています。ONにしておきましょう。
※注意
CloudFlare(クラウドフレア)などのCDN(コンテンツデリバリーネットワーク)を使用する場合は、この機能はOFFにしてください。
CDNはアクセス元(IP)が毎回変わる為か、ログインが出来なくなる(ずっと404エラー)不具合が発生します。
そうなった場合は.htaccessファイルを書き換えたりする必要があるので、CDNを導入する場合は注意しましょう。
https://beadored.com/can-not-login-because-siteguard-wp-plugin/
ログインページ変更
管理ページのログインURLを変更する機能です。デフォルトでONになっているので、そのまま使用しましょう。
ログインURLは推測されやすいので、この機能でURLを変更するだけでもかなりのセキュリティ対策になります。
新しいログインURL(赤枠)はコピペしてブックマークしておきましょう。
自分の好きなURLにする事ももちろん可能です。
画像認証
ログインページなどに画像認証を追加する機能です。
デフォルトでONになっており、基本的にいじる必要はありません。
ひらがなの画像認証は海外ハッカーに対して非常に有効なので、ひらがなを選択しましょう。
コメント欄にも画像認証を追加できるので、スパム対策にもなります。
ログイン詳細エラーメッセージの無効化
ログインに失敗した際のエラーメッセージがすべて同じになります。
「ユーザーIDが違います。」「パスワードが違います。」
等のエラーメッセージからIDやパスワードが推測されることを防ぎます。
こちらもデフォルトでONになっています。ONのままで良いでしょう。
ログインロック
ログインに繰り返し失敗する接続元のアクセスを制限します。
ブルートフォースアタックのようなプログラムを用いた機械的な攻撃には非常に有効です。
設定は特に指定がなければデフォルトのままでOKです。
エックスサーバーを利用している場合は、サーバー機能にログイン回数制限があるので不要です。
ログインアラート
ログインするとユーザーにメールが送信されるため、不正ログインに気づきやすくなります。
デフォルトでONになっています。
基本的にいじる必要はありません。
フォールワンス
正しいログイン情報であっても一度ログインに失敗する機能です。
パスワードリスト攻撃(他のサービスなどから流出したパスワードリストを元にした攻撃。アカウントとパスワードを使いまわしている場合が危険)に対して有効な防御方法です。
デフォルトではOFFになっています。
XMLRPC防御
ピンバック機能と呼ばれる、ブログにリンクが貼られたことを通知する機能を無効にします。
このピンバック機能は悪用されるとDDos攻撃(分散サービス拒否攻撃)に使用されてしまうので、無効にしておきましょう。
XML-RPCを無効化するとさらにセキュリティ的に強力になりますが、使用できないプラグイン(jetpackなどでエラー)が出てくるので、とりあえずはピンバック無効だけでいいと思います。
デフォルトではONになっています。
エックスサーバーを利用している場合は、サーバー機能にXMLRPCへの国外IPアクセス制限機能があります。どちらかの機能だけでいいかもしれませんね。
更新通知
WordPress本体、プラグイン、テーマの更新を通知してくれる機能です。
アップデートは最も簡単なセキュリティ対策なのでこまめにアップデートしましょう。
デフォルトではONになっています。
個人的には不要なのでOFFにしています。
WAFチューニングサポート
サーバーにSiteGuard Lite(JP-secure製のWAF)が導入されている場合に利用できる機能です。
正常アクセスで、403エラーが発生する等の誤検出を回避するための除外ルールを作成できます。
当サイトでおすすめするレンタルサーバー(エックスサーバー、mixhost)ではSiteGuard Liteは導入されていないので特に設定する必要はありません。
SiteGuard Liteが導入されているレンタルサーバー(さくらのレンタルサーバーなど)を利用している場合は設定しましょう。
詳しくは↓のマニュアルをどうぞ
https://www.jp-secure.com/siteguard_wp_plugin/howto/waf_tuning_support...
ログイン履歴
ログイン履歴を表示します。
見たことのないログイン名やIPアドレスがある場合は、不正ログインを試みた者がいるということです。
たまに確認してみましょう。
セキュリティと利便性のバランスを考える
『SiteGuard WP Plugin』の全ての機能をONにするとセキュリティ性能は高まりますが、利便性は低下します。
私は現状↑のような設定で運用しています。
実際に運用してみて、使いにくかったり、他のプラグインとの兼ね合いがあればその都度変更していきましょう。
今回は以上です!
このプラグインでブルートフォースアタック対策は出来ました。
WordPressのセキュリティ設定はこれ以外にもあります。万全なセキュリティ対策をしておきましょう。