サイトを運営するうえで、一番悩ましいのが不正アクセス対策やスパム対策です。
WordPressの場合は、セキュリティ対策ができるプラグインがいくつか利用できるようになっているので、有効利用して効果的な対策をしていきましょう。
今回紹介するプラグイン「SiteGuard WP Plugin」以外にも、同等の機能が利用できるプラグインがいくつかあります。
- CloudSecure WP Security
-
エックスサーバー利用者におすすめです。
つい最近ですが、エックスサーバーのWordPress簡単インストールでプラグイン「CloudSecure WP Security 」が自動でインストールされるようになりました。
機能的に、「SiteGuard WP Plugin」とほぼ同じであり、インストール直後にはいくつかの項目が設定済みとなっているので、セキュリティ対策がすぐに完了します。
- XO Security
-
プラグイン「XO Security」は、設定項目がより細かく用意されているので、できるだけ様々な対策を実施したい場合におすすめです。
ただし、「SiteGuard WP Plugin」や「CloudSecure WP Security 」と異なり、インストールしても一部の項目が設定済みになったりしないので、全項目を1から設定する面倒くささはあります。
「SiteGuard WP Plugin」は必要か
「SiteGuard WP Plugin」が必要か?と問われると、結論から書けば必須のプラグインではありません。
なぜかというと、WordPressはCMS(コンテンツ管理システム)の中でも圧倒的にシェア(利用率)が高いからなんですね。
以下のサイトで、シェアが61.3%で全Webサイトの43.4%がWordPressを利用しているという市場調査の結果が確認できます。(市場調査結果は随時更新)
利用率が高いと、どうしても不正アクセスなどの攻撃を受けやすくなるんです。
せっかく、収益を確保しているサイトが改ざんによって無関係なサイトに書き替えたられたりすると、目も当てられません。
しかも、一度不正アクセスされると、元のクリーンな状態に戻すのもかなり難易度の高い対応となるんですよね。
攻撃の中でも、一番多いのがWordPressのログインページからの侵入だと言われます。
完全に防げるわけではないですが、標準のログインページを任意のURLに変更するだけでも不正アクセスのリスクはグッと低くなります。
結論として、ログインページの変更以外にも、セキュリティ対策として一通りの設定項目が揃っている「SiteGuard WP Plugin」の導入を強くおすすめします。
「SiteGuard WP Plugin」のインストール/有効化
インストール/有効化
「SiteGuard WP Plugin」をインストールして有効化します。
WordPressの管理メニューの「プラグイン」→「新規プラグインを追加」をクリック。
「SiteGuard WP Plugin」を入力(自動で検索)
「今すぐインストール」→「有効化」をクリック。
「SiteGuard WP Plugin」の設定方法(使い方)
【注意】
変更されたログインURLを忘れたりすると、WordPressにログインできなくなります。
以下の記事に、ログインできるようにする方法を書いていますが、結構面倒な対応となるので、リンクをブックマークするなど忘れないようにしましょう。
変更されたURLをコピーする(タップで詳細を展開)
新しいログインページURL(①)をクリックすると、ログインページが表示されるので、URLをそのままコピーしてください。
または、新しいログインページURL(①)のリンクにマウスを乗せて、右クリックで表示されるメニューから「リンクのアドレスをコピー」(②)をクリックすると、コピーできます。
設定項目を確認する
「SiteGuard WP Plugin」がインストールできたところで、どんな設定項目があるかダッシュボードから確認します。
WordPressの管理メニューの「SiteGuard 」→「ダッシュボード」をクリック。
設定済みの項目については基本的に変更の必要はないので、以降では未設定の項目について設定をしていきます。
未設定項目を設定する
ここでは、未設定項目を設定します。
ログインページ変更
「ログインページ変更」は既に設定済みとなっていますが、一部設定内容を変更するので変更してから設定を保存します。
オプションの「管理画面からログイン画面にリダイレクトしない。」は必ずチェックして、「変更を保存」をクリックしてください。
※チェックしないと、せっかくログインページを変更したのに標準のログインページ(https://ドメイン/wp-admin/)にアクセスすると変更されたURLにリダイレクトされてしまいます。
管理ページアクセス制限
ユーザー名漏えい防御
ユーザーID(author)の「1」には、インストールを実施した管理者権限のある人が割り当てられるので、必ずこの対策は実施しましょう。
「REST API 無効化」にチェックをつけて、「有効」をクリックして「変更を保存」をクリックします。
その際、現在有効化されているプラグインが下に一覧表示されるので、「除外プラグイン 追加」ボタンを押して、すべてのプラグインを上の「除外プラグイン」の方に移動させます。
設定不要項目(設定済)の確認
「SiteGuard WP Plugin」をインストールすると、いくつかの項目がデフォルトで設定済みとなります。
この設定済みの項目は通常変更する必要はありませんが、項目とその設定内容だけは一通り目を通すことをおすすめします。
もちろん、変更したい項目があれば変更しても構いません。
画像認証
ログインページの画像認証
コメントページの画像認証
パスワード確認ページの画像認証
ログイン詳細エラーメッセージの無効化
ログインロック
ログインアラート
XMLRPC防御
更新通知
適宜設定項目を確認する
以下は、必要であれば適宜設定する項目です。
フェールワンス
この設定も不正対策には有効ですが、自分自身もログインでは一度エラーとなるので、それがわずらわしくなければ設定してもいいでしょう。
WAFチューニングサポート
この設定(機能)を利用するためには、サーバー側に「SiteGuard Lite」というソフトウェアが導入されていることが前提のようです。
「SiteGuard Lite」については以下の公式サイトで確認できますが、有料となっているようなので、おそらく企業向けの機能になるんじゃないかと思います。
まとめ
先にも書いてますが、WordPressの利用率は非常に高いので、悪意のある第三者からの標的になりやすいです。
WordPressのログインページのURLを変更する機能をはじめ、さまざまなセキュリティ対策が可能となっている「SiteGuard WP Plugin」を導入して、安心してサイト運営ができるようにしましょう!
また、インストールするとデフォルトで設定済みとなる項目が多いので、残りの項目さえ設定すればいいだけのプラグインです。
コメント