SiteGuard WP Pluginの設定方法と使い方!無料で使える画像認証でWordPressのセキュリティをアップしよう
WordPressでブログを運用していて、
気を付けなければいけないのがセキュリティ。
WordPressはプラグインによるカスタマイズの自由度や、
無料ということもあり、世界的に利用数が増えてきています。
そうすると、悲しいかな。
そこに目を付けた悪い人も増えてきます。
ブログの収益が少ない時ならまだいいですが、
(それでもいやですが・・・。)
月50万、100万円と稼げるようになってから、
ブログがハックされてコンテンツをまるごと持ってかれた。
なんてことになったら、泣くに泣けません。
ただ、WordPressのセキュリティを上げるといっても、
そんなに詳しい知識がない場合はなかなかむずかしかったり。
そんな場合におすすめなWordPressのセキュリティを上げるプラグインが、
今回は、使っているWordPressブログのセキュリティをアップするプラグイン、
SiteGuard WP Pluginの使い方や設定方法についてまとめました。
セキュリティで何が怖いかといったらハッキングです。
つまり、WordPressのIDとPasswordを盗まれて、自由に管理者用の管理画面を知らない誰かに自由に使われてしまうことですね。
WordPressの管理画面に自由に入れてしまうと、文章や画像のコンテンツはもとより、使っている広告のパラメータからアドセンスやASPのアカウント情報や、ひいては銀行口座の情報などまで危険にさらされます。
ではどうやって、パスワードをかけている管理画面を突破するのかというと、多いのがブルートフォースアタックですね。
簡単なパスワードだと看破されやすいので複雑なものにしておくことはもちろんですが、大規模でこれをやられると複雑なパスワードにしていてもパスワードを看破されてしまう場合があります。
そこで登場するのがSiteGuard WP Plugin。
このプラグインの主な機能として、
何度もログインが失敗する場合にロックを掛ける
ログインページ自体のURLアドレスを変更する
管理画面やその先のページにアクセスしようした場合にエラーを返す
など、不正ログインをしようとしたユーザーに対して、さまざまなトラップを仕掛けてくれます。
本格的にWordPressのセキュリティを上げようとするとさまざまな知識やテクニックが必要ですが、このプラグインを入れるだけで何もしていないよりはるかにセキュリティレベルを上げることが可能です。
「もう本当にパソコンのパの字しか知らないです!」
という場合や、インターネットやウェブにまったく詳しくない人でも、このプラグインを入れてデフォルトの状態で使っているだけでも、かなり安全性は高まります。
それではさっそくこのプラグインの使い方についてみていきましょう。
これで「SiteGuard WP Plugin」のインストールが完了しました。
ここでは、このプラグインで設定できる内容についてみていきましょう。
プラグインをインストールすると、WordPress管理画面の左のメニューに「SiteGuard」が使いされているので、こちらのメニューから「ダッシュボード」を選択しましょう。
それでは、それぞれの機能と使い方についてみていきましょう。
WordPressにログインした後にURLを見てみるとわからいますが、管理画面のどのメニューを使ってるかでwp-admin以下のアドレスが変わっています。
例えば、記事投稿ページを使っているときは、
画像をアップロードしようとしているときは、
といった具合ですね。
実は、これらの下層ページからでもURLを直接打ち込めば、IDとPassを聞かれて直接ログインできるようになっています。
悪意ある第三者から狙われた場合に、adminページにセキュリティをかけても、このような下層ページから入り込まれてしまう場合があります。
そんな場合に、この機能をONにしておけば、ログインが行われていない接続元IPアドレスに対して、404エラー(Not Found)で返してくれます。
デフォルトではOFFになっていますが、ONにしておくことをおすすめします。
となっています。
このプラグインを使うとこのページが、
と、数字が5個追加されます。
多くのハッカーはwp-login.phpのアドレスを狙ってきますので、ここのログインページの名前が複雑になるだけでも、多くの攻撃をかわすことができます。
ちなみに、ここの数字はこの設定画面で変更することもできます。
一点、今後はログインページが変更になるので、
「あれっ?いつものブログにログインできない」
となりがち。
今後はログインページが変更となるので、メモっておくか、変更後のログインページをブックマークなどに追加しておくようにしましょう。
日本語に対応しているので、ログインするたびに日本語4桁を入力する必要はあるが、機械的なアタックをこれでほぼ排除できる。
また、ログインのセキュリティだけでなく、コメントでも画像認証を使えるのでコメントに付く意味のない海外からのスパムなどもこれでほとんどカットできるのはうれしいところ。
ユーザー名が間違っている
パスワードが間違っている
など、どこか違っていたのかを親切に教えてくれます。
ハックしようとする側からすると、
「なるほど、ユーザー名はあってるけどパスワードの方が違うのか」
という、何が違うのかを教えるヒントになってしまいます。
そこで、このログインエラーのメッセージを、
「違います」
で統一することで、ログイン名とパスワードが完全一致してないとダメになるので、よりセキュリティは強固になります。
先ほどちらっと紹介したブルートフォースアタックのような機械的なアタックに対して有効です。
ただし、自分でもうっかり連続で間違えてしまった場合はロック対象になります。
時間
回数
ロック時間
この3つを設定できるので、
「よくログインIDとPASSを入れ間違えてしまう」
という場合は、ロック対象となる回数を3回から10回などに変更しておくようにしましょう。
自分でログインした覚えがないのに、メールが届いたら第三者に管理画面に入られた可能性が高くなるので、そんな場合に異変に気付くことができるようになります。
ちなみに、自分がログインした場合でももちろんメールが届くので、私のフォルダには、
「(サイト名)にログインがありました」
メールがたくさん来ています。
機械的なアタックであれ、
故意的なハックであれ、
合ってるのに一度はスルーしてしまうので、セキュリティとしてはかなり強固になります。
ただ、私の場合は、この設定のせいだとわかっていても、
「あれっ?違ったっけ?」
と、毎回なってしまうのがストレスなので、こちらはOFFにしています。
ちなみにデフォルトではOFFの設定になっています。
この機能を使う場合はONに設定を変更しましょう。
ピンバック無効化
XMLRPC無効化
この2つが選択できるようになっています。
「What’s!?」
という人もいるかと思いますので、簡単に説明しますと、
ピンバックはWordPressが持つ相互リンクをしあうための機能のようなもの
XMLRPCはXMLというファイル形式をHTTPの方法でやり取りする通信方式
ですね。
ピンバックしかり、XMLでのやり取りしかり、この方法でやり取りする機能を狙って悪いことをしようとする人がいるのでそのそも無効化してしまおうというセキュリティ手段です。
まぁ、ONにしてもそんなに影響はないと思いますが、せっかくピンバックをもらえたのに無効になる場合は、XMLを使って何かするプラグインを使用している(もしくは将来的に使用する)場合に何かしらのエラーがでたらヤダなと思うので、私はこれは無効にしています。
という観点から、
WordPress自体
使っているプラグイン
使っているテーマ
この最新版が出た時に、
「新しいバージョンがリリースされたよー。更新しようぜ!」
と、お知らせを送ってくれる親切機能です。
ちゃんと更新するかは置いといて、お知らせしてくれるのはありがたいですね。
WAFが導入されてる場合はONにして、導入してない場合はOFFでOKです。
WAFが導入されていると、セキュリティは高まるものの、WordPressやプラグインのご認知でその機能をブロックしてしまう場合はあるので、そんな場合のためにこのON、OFF機能が設置されています。
セキュリティアップのプラグインはいろいろありますが、これだけまとめていろいろとやってくれるプラグインは、なかなか無いのではないかな、と思います。
しかも無料ですし。
特に、画像認証の機能は嬉しいですね。
このプラグインを入れてない、昔立ち上げてそのままになっているWordPressに久々にログインしてみると、海外からのスパムコメントが大量についていたりします。
管理云々の前に、最初からはじいてくれればこちらもストレスフリーですし、セキュリティ上も安心です。
このプラグインを提供している会社自体が、JP-Secureという日本のまともな会社ですし、かつセキュリティに特化した会社なので、そうそういい加減なことをしたり、プラグインの更新やアップデートがとまることもないのではないかな、と思います。
WordPressに対するセキュリティの必要性は日を追うごとに増してますし、こちらとしてもブログや収益が大きくなればなるほど、失った時のリスクは甚大になります。
何かあってからでは遅いのがセキュリティ。
早いうちからWordPRessのセキュリティも意識して、安全な運営をこころがけましょう。
今回は以上です。
最後までお読みいただきましてありがとうございました。
気を付けなければいけないのがセキュリティ。
WordPressはプラグインによるカスタマイズの自由度や、
無料ということもあり、世界的に利用数が増えてきています。
そうすると、悲しいかな。
そこに目を付けた悪い人も増えてきます。
ブログの収益が少ない時ならまだいいですが、
(それでもいやですが・・・。)
月50万、100万円と稼げるようになってから、
ブログがハックされてコンテンツをまるごと持ってかれた。
なんてことになったら、泣くに泣けません。
ただ、WordPressのセキュリティを上げるといっても、
そんなに詳しい知識がない場合はなかなかむずかしかったり。
そんな場合におすすめなWordPressのセキュリティを上げるプラグインが、
SiteGuard WP Plugin
です。今回は、使っているWordPressブログのセキュリティをアップするプラグイン、
SiteGuard WP Pluginの使い方や設定方法についてまとめました。
目次
SiteGuard WP Pluginをざっくり紹介
まずSiteGuard WP Pluginとはどんなプラグインなのかについて、簡単に紹介していきましょう。セキュリティで何が怖いかといったらハッキングです。
つまり、WordPressのIDとPasswordを盗まれて、自由に管理者用の管理画面を知らない誰かに自由に使われてしまうことですね。
WordPressの管理画面に自由に入れてしまうと、文章や画像のコンテンツはもとより、使っている広告のパラメータからアドセンスやASPのアカウント情報や、ひいては銀行口座の情報などまで危険にさらされます。
ではどうやって、パスワードをかけている管理画面を突破するのかというと、多いのがブルートフォースアタックですね。
- ブルートフォースアタックとは
パスワードなどを力ずくの総当たり攻撃で片っ端から試して見つけること。
以前、某国からの大掛かりなルートフォースアタックが行われ、ロリポップやエックスサーバーなど大手のレンタルサーバー会社などもこの対応に追われたことがある。
また、この攻撃を食らうとサーバーに以上な負荷がかかり、サイトが重くなったりサーバーが落ちたりすることがある。
そこで登場するのがSiteGuard WP Plugin。
このプラグインの主な機能として、
本格的にWordPressのセキュリティを上げようとするとさまざまな知識やテクニックが必要ですが、このプラグインを入れるだけで何もしていないよりはるかにセキュリティレベルを上げることが可能です。
「もう本当にパソコンのパの字しか知らないです!」
という場合や、インターネットやウェブにまったく詳しくない人でも、このプラグインを入れてデフォルトの状態で使っているだけでも、かなり安全性は高まります。
それではさっそくこのプラグインの使い方についてみていきましょう。
さっそくインストールしよう
まずはこのプラグインをインストールしましょう。SiteGuard WP Pluginのインストール方法
1.
SiteGuard WP Plugin
↑
こちらのテキストをコピーします。
それから、WordPressの管理画面を開いて、左のメニュー「プラグイン」からインストールしてあるプラグインの一覧ページを開いて、上のほうにある「新規追加」をクリックします。
2.
プラグインのインストールページを開いたら、右上の方にある検索窓に先ほどコピーしたプラグイン名「SiteGuard WP Plugin」のテキストを張り付けて、キーボードのエンターキーを押します。
3.
検索でヒットしたプラグインで、SiteGuard WP Pluginを見つけて、「今すぐインストール」ボタンをクリックします。
インストールが完了したら「有効化」のボタンをクリックします。
1.
SiteGuard WP Plugin
↑
こちらのテキストをコピーします。
それから、WordPressの管理画面を開いて、左のメニュー「プラグイン」からインストールしてあるプラグインの一覧ページを開いて、上のほうにある「新規追加」をクリックします。
2.
プラグインのインストールページを開いたら、右上の方にある検索窓に先ほどコピーしたプラグイン名「SiteGuard WP Plugin」のテキストを張り付けて、キーボードのエンターキーを押します。
3.
検索でヒットしたプラグインで、SiteGuard WP Pluginを見つけて、「今すぐインストール」ボタンをクリックします。
インストールが完了したら「有効化」のボタンをクリックします。
これで「SiteGuard WP Plugin」のインストールが完了しました。
SiteGuard WP Pluginの設定
プラグインをインストールして、デフォルトのまま使用してもWordPressのセキュリティは上がっていますし問題はないですが、できれば何ができるのか、このプラグインがどんなことをしているのかは知っておいたほうが良いです。ここでは、このプラグインで設定できる内容についてみていきましょう。
プラグインをインストールすると、WordPress管理画面の左のメニューに「SiteGuard」が使いされているので、こちらのメニューから「ダッシュボード」を選択しましょう。
ダッシュボード
SiteGuardのダッシュボードを開くと、このプラグインで使える機能の一覧と、現在の設定がチェックされているか否かで確認できるようになっています。- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
それでは、それぞれの機能と使い方についてみていきましょう。
管理ページアクセス制限
この機能では、WordPressのログインページ以降からアクセスを試みられた場合に、404エラーを返してくれる機能です。WordPressにログインした後にURLを見てみるとわからいますが、管理画面のどのメニューを使ってるかでwp-admin以下のアドレスが変わっています。
例えば、記事投稿ページを使っているときは、
- “wp-admin/edit.php”
- “wp-admin/upload.php”
実は、これらの下層ページからでもURLを直接打ち込めば、IDとPassを聞かれて直接ログインできるようになっています。
悪意ある第三者から狙われた場合に、adminページにセキュリティをかけても、このような下層ページから入り込まれてしまう場合があります。
そんな場合に、この機能をONにしておけば、ログインが行われていない接続元IPアドレスに対して、404エラー(Not Found)で返してくれます。
デフォルトではOFFになっていますが、ONにしておくことをおすすめします。
ログインページ変更
通常、WordPressのログイン画面のURLは、- wp-login.php
このプラグインを使うとこのページが、
- login_○○○○○
多くのハッカーはwp-login.phpのアドレスを狙ってきますので、ここのログインページの名前が複雑になるだけでも、多くの攻撃をかわすことができます。
ちなみに、ここの数字はこの設定画面で変更することもできます。
一点、今後はログインページが変更になるので、
「あれっ?いつものブログにログインできない」
となりがち。
今後はログインページが変更となるので、メモっておくか、変更後のログインページをブックマークなどに追加しておくようにしましょう。
画像認証
このプラグインの嬉しい機能の一つが画像認証。日本語に対応しているので、ログインするたびに日本語4桁を入力する必要はあるが、機械的なアタックをこれでほぼ排除できる。
また、ログインのセキュリティだけでなく、コメントでも画像認証を使えるのでコメントに付く意味のない海外からのスパムなどもこれでほとんどカットできるのはうれしいところ。
ログイン詳細エラーメッセージの無効化
通常の場合はログインが間違っていたときに、ハックしようとする側からすると、
「なるほど、ユーザー名はあってるけどパスワードの方が違うのか」
という、何が違うのかを教えるヒントになってしまいます。
そこで、このログインエラーのメッセージを、
「違います」
で統一することで、ログイン名とパスワードが完全一致してないとダメになるので、よりセキュリティは強固になります。
ログインロック
何回かログインできない状態が続いた時に、指定した時間のあいだ、同一IPからのアクセスをロックする機能です。先ほどちらっと紹介したブルートフォースアタックのような機械的なアタックに対して有効です。
ただし、自分でもうっかり連続で間違えてしまった場合はロック対象になります。
「よくログインIDとPASSを入れ間違えてしまう」
という場合は、ロック対象となる回数を3回から10回などに変更しておくようにしましょう。
ログインアラート
WordPressの管理画面にログインがあった場合にメールでお知らせしてくれる機能です。自分でログインした覚えがないのに、メールが届いたら第三者に管理画面に入られた可能性が高くなるので、そんな場合に異変に気付くことができるようになります。
ちなみに、自分がログインした場合でももちろんメールが届くので、私のフォルダには、
「(サイト名)にログインがありました」
メールがたくさん来ています。
フェールワンス
正しいIDとPassを入力しても1回目はかならず失敗するという機能です。機械的なアタックであれ、
故意的なハックであれ、
合ってるのに一度はスルーしてしまうので、セキュリティとしてはかなり強固になります。
ただ、私の場合は、この設定のせいだとわかっていても、
「あれっ?違ったっけ?」
と、毎回なってしまうのがストレスなので、こちらはOFFにしています。
ちなみにデフォルトではOFFの設定になっています。
この機能を使う場合はONに設定を変更しましょう。
XMLRPC防御
こちらでは、「What’s!?」
という人もいるかと思いますので、簡単に説明しますと、
ピンバックしかり、XMLでのやり取りしかり、この方法でやり取りする機能を狙って悪いことをしようとする人がいるのでそのそも無効化してしまおうというセキュリティ手段です。
まぁ、ONにしてもそんなに影響はないと思いますが、せっかくピンバックをもらえたのに無効になる場合は、XMLを使って何かするプラグインを使用している(もしくは将来的に使用する)場合に何かしらのエラーがでたらヤダなと思うので、私はこれは無効にしています。
更新通知
「セキュリティの基本は最新のバージョンに常にすること!」という観点から、
「新しいバージョンがリリースされたよー。更新しようぜ!」
と、お知らせを送ってくれる親切機能です。
ちゃんと更新するかは置いといて、お知らせしてくれるのはありがたいですね。
WAFチューニングサポート
これは、借りてるレンタルサーバーなどでWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知を防ぐためのルールを作成する機能。WAFが導入されてる場合はONにして、導入してない場合はOFFでOKです。
WAFが導入されていると、セキュリティは高まるものの、WordPressやプラグインのご認知でその機能をブロックしてしまう場合はあるので、そんな場合のためにこのON、OFF機能が設置されています。
まとめ
今回は、あまりウェブやインターネットの知識がない人でも、WordPressのセキュリティを大幅に向上できるプラグイン「SiteGuard WP Plugin」を紹介しました。セキュリティアップのプラグインはいろいろありますが、これだけまとめていろいろとやってくれるプラグインは、なかなか無いのではないかな、と思います。
しかも無料ですし。
特に、画像認証の機能は嬉しいですね。
このプラグインを入れてない、昔立ち上げてそのままになっているWordPressに久々にログインしてみると、海外からのスパムコメントが大量についていたりします。
管理云々の前に、最初からはじいてくれればこちらもストレスフリーですし、セキュリティ上も安心です。
このプラグインを提供している会社自体が、JP-Secureという日本のまともな会社ですし、かつセキュリティに特化した会社なので、そうそういい加減なことをしたり、プラグインの更新やアップデートがとまることもないのではないかな、と思います。
WordPressに対するセキュリティの必要性は日を追うごとに増してますし、こちらとしてもブログや収益が大きくなればなるほど、失った時のリスクは甚大になります。
何かあってからでは遅いのがセキュリティ。
早いうちからWordPRessのセキュリティも意識して、安全な運営をこころがけましょう。
今回は以上です。
最後までお読みいただきましてありがとうございました。
この記事が「タメなった!」場合はこちらのボタンからシェアをお願いします!
 |
著者プロフィール 漫画とゲームが大好きな、なかなか大人になれない36歳。 父親と母親、ともに教師の家の次男として生まれ平和に育つ。 20代後半に社会の洗礼を受け、毎月残業80時間を超す(残業代は出ない) ブラックなネット広告代理店にてネット関連のプロモーション業務に従事。 30歳の時、結婚と転職を機に、もっと人間らしい生活と、 嫁と家族の幸せを求めて独自でインターネットビジネスを始める。 現在は平和な職場環境の元、副業としてネットビジネスを展開し、 インターネットを活用して複数の収益源を確保することに成功。 自身のビジネスを拡大させながら、そこで得た秘訣や、 会社に頼らず、自身の能力で稼ぐ方法をメルマガで配信中。 配信しているメルマガの内容はコチラ。 ネットビジネスが初めての人向け、セミナー音声もプレゼント中です。 理不尽なことがと嘘が嫌いで、建設的なことやお話が好きです。 おすすめの漫画は「ヴィンランド・サガ」と「ぽっかぽか」です。 |
この記事を読んだ人はこんな記事も読んでます!
- プラグイン「Quick AdSense」でアドセンス広告が表示されない時の原因と対処方法
- Akismetの設定方法と使い方!APIキーの取得方法をわかりやすく解説
- アドセンスを記事中設置や自動挿入できるプラグイン「WP QUADS」の使い方と設定方法
- 関連記事を表示させるWordPressプラグイン「YARPP」の設定方法と使い方
- Adsense Managerが表示されない!使えないと思った時にまずチェックすべきはココ!”Fatal error”などのエラーが出た場合の対処法も
こちらの記事を読んで思ったことや、疑問点などありましたら、コメント欄からの投稿も歓迎します。↓
最近のコメント