WordPressを使っていく上で、ログインページのURLを変更したり、画像認証などを付加してセキュリティの強化方法を書いていきます。
パスワードをしらみ潰しに当たってきたり、いろんな策を講じて攻撃してくる不正アクセスを阻止を簡単にプラグインの設定で可能になります。
1. プラグインをダウンロードします。
- ダッシュボードのプラグイン→新規追加で「SiteGuard WP Plugin」の今すぐダウンロードをクリックします。
有効化が表示されたらクリックします。 - ダッシュボードから「SiteGuard」をクリックします。
2.SiteGuard WP Pluginの各種設定を説明します。
- SiteGuardを有効化するだけでも十分サイトを守ることはできますが、各種設定を行っていくと更にサイトの安全性が高まるので説明します。また各機能の中で私のオススメとしての機能には☆印を付けてるので、その機能は是非活かしてください。
【管理ページアクセス制限】☆
ログインされてない(/wp-admin/配下)接続元のIPアドレスをチェックして不審なアクセスIPアドレスの場合「404(Not Found)」を返します。管理者などのIPアドレスをチェックを行い、不正なIPアドレスを遮断する機能です。
デフォルト設定ではオフになってるので、強化する場合はスイッチをクリックして「オン」にしてください。
変更したら必ず「変更を保存」をクリックします。
【ログインページ変更】☆
デフォルトのwordpressログインページはドメイン/login/ やドメイン/admin/ やドメイン/wp-login.phpとなってます。
これらデフォルトのURLは誰もが知っている状態ですが、このURLを変更することで不正アクセスを防止します。
不正アクセスなどはデフォルトのログイン画面からあらゆるアタックを繰り返して侵入を試みるので、この機能は是非使ってほしいところです。
画面では「login_88893」と表示されてますが、任意で変更できます。
変更したら必ず「変更を保存」をクリックします。
【画像認証】
ログイン画面にID、パスワードと画像認証を入れてログインする方法です。英数字、ひらがなで設定が可能で不正アクセスしてくるロボットなどのアタックなどを防止します。ワンタイムパスワードなどの併用などを行うと更に防止が強められますが、入力手間を考えると負担の軽い方を一点で運用するのが理想です。
【参考】WordPressのログインページにワンタイムパスワード認証を設定します。
変更したら必ず「変更を保存」をクリックします。
- ログイン画面にこの様な画像文字が付加されます。
【ログイン詳細エラーメッセージの無効化】☆
不正アクセス者がアタックを繰り返し行い、何らかのエラーメッセージからログイン名を割り出す方法などを阻止する対策です。一定のエラーメッセージに統一しログイン名などが漏れないようにする機能です。
変更したら必ず「変更を保存」をクリックします。
【ログインロック】☆
一定時間内に不正アクセスしてくるアタックに対して、誤ったログイン情報を一定数を超えると、一定時間アクセスできなくなる機能です。自分のログイン情報が正しければ、ロックされることは無いので、この機能は是非オンで使って頂きたいです。
変更したら必ず「変更を保存」をクリックします。
【ログインアラート】
アクセスする度にメールでアクセスがあったと知らせる機能です。複数でワードプレスを管理してたりすると誰がログインしたかなどが確認できます。
また不審なログインがあった場合になどにもアラートメールが来るので、サイト管理を強化できます。
変更したら必ず「変更を保存」をクリックします。
【フェールワンス】
メジャーな機能ではありませんが、ログインに対してエラーを送り間違ったと思わせる機能です。正確なログインをしても一度エラーを返して、後に正しくログインすると正常に入れる仕組みです。インターバルを用いて諦めてもらうような?機能です。他の機能で十分セキュリティ強化ができるので「オン」で強化する必要性は?です。m(_ _)m
変更したら必ず「変更を保存」をクリックします。
【XMLRPC防御】☆
ピンバック機能、XMLRPC機能を強制停止させる機能です。
ピンバック機能はWordPressを踏み台にされる危険性があったりDDoS攻撃などのリスクがあります。またXMLRPC機能は外部からサイトに情報を要求したら吐き出してしまうリスクがあり、これを利用されると不正ログインされてしまう可能性があるので、機能自体を停止させます。
変更したら必ず「変更を保存」をクリックします。
【ユーザー名漏えい防御】
WordPress運用しているユーザー名の漏洩を阻止する機能です。漏洩しそうなプラグインやログイン画面などに、このプラグインのリストに追加してフィルターを掛けます。
変更したら必ず「変更を保存」をクリックします。
【更新通知】
WordPressの更新、プラグインの更新、テーマの更新が必要になった時にメールで通知します。
通知がメールに届いたら、自動更新以外はなるだけ早く更新をオススメします。
変更したら必ず「変更を保存」をクリックします。
【WAFチューニングサポート】
WEBサーバー自体がWAFに対応している場合、この機能でWAFを調整することが可能です。
自分のサイトにセキュリティの自動判断の間違いでアクセスできなくなってしまった場合、このWAFチューニングサポートにルールを設定することによって回避できます。
ルール追加は画面左上タイトル名の横「新たなルール追加」をクリックします。
変更したら必ず「変更を保存」をクリックします。
【詳細設定】
ログインユーザーからのIPアドレスを取得する設定です。通常はリモートアドレスのままで問題ありません。
プロキシーサーバー経由などの場合は、X-Forwarded-のレベルに合わせて設定する必要があります。
変更したら必ず「変更を保存」をクリックします。
【ログイン履歴】
ログインユーザーの履歴が10000件残されます。自分以外のログイン形跡があったなどの発見に繋がります。
お疲れ様でした。
※上記内容より、何らかの影響で不具合が生じても全て自己責任でお願いします。