以前から度々話題に上がる、WordPress サイトへのブルートフォースアタック(※1)ですが、対策しようとした場合 .htaccess ファイルでアクセス制限を行う必要があり、敷居が高く感じられます…。そのため対策を行うことを敬遠されてきた方もいらっしゃるのではないでしょうか。

そんな方にお勧めしたいのが、今回ご紹介する SiteGuard WP プラグインです。
SiteGuard WP プラグインでは、ログインページの URL を変更したり、ログインする際に画像認証を追加するなど、サイトを守ってくれる機能が満載のプラグインです。

SiteGuard WP プラグイン

インストールから詳しい機能についてご紹介します。

(※1ブルートフォースアタックとは、総当たり攻撃とも言われ第三者がログイン ID とパスワードを手当たり次第に入力し、不正ログインを試みる攻撃のことです。)

プラグインのインストール

管理画面のプラグイン新規追加画面にて「SiteGuard WP Plugin」を検索し、「いますぐインストール」ボタンをクリックします。インストールが完了したらプラグインの有効化をしましょう。

(※プラグインを有効化すると同時に、ログインページのアドレスが自動的に変更されてしまうためご注意下さい。)

SiteGuard WP Plugin のインストール

有効化すると管理画面へ「SiteGuard」のボタンができます。この「SiteGuard」のページで機能一覧の確認と設定を行うことができます。緑のチェックが入っている項目が現在有効化されている機能です。

SiteGuard 機能一覧

各機能の有効化 / 無効化の方法

各機能を有効化、もしくは無効化したい場合は「設定状況」の箇所で該当する機能の項目をクリックします。

該当する機能の項目をクリック

すると、各機能の個別ページへ移行しますので、有効化したい場合は ON / OFF ボタンを ON に、無効化したい場合は OFF にしましょう。ページ下の「変更を保存」ボタンをクリックして ON / OFF の切り替えが完了します。

有効化したい場合は ON / OFF ボタンを ON に

SiteGuard WP プラグインの機能紹介

SiteGuard WP プラグインの各機能を詳しく見て行きましょう。

管理ページアクセス制限

ログイン中の IP アドレス以外から wp-admin ディレクトリへのアクセスがあった場合に 404 エラーを返してアクセスできないようにします。

ログインページ変更

デフォルトのアクセスURLである「http://ドメイン/wp-login.php」から、「http://ドメイン/login_(ランダムな数字).php」の形式へ変更します。「ランダムな数字」の箇所は後から任意の文字列へ変更することも可能です。

メールで新しいログインアドレスを送ってくれますが、忘れないようにブックマークに登録するなどしましょう。

画像認証

ログインフォームに画像認証を追加します。ひらがな入力での認証も可能です。ひらがなに設定しておくとよりログインされにくくなるでしょう。

画像認証を追加します

ログイン詳細エラーメッセージの無効化

通常はログインに失敗した際に、WordPress が「無効なユーザー名です。」「パスワードが違います。」などどちらが間違っているかを教えてくれます。ユーザーにとっては親切な機能ですが、クラッカーにとっては不正ログイン成功のヒントになってしまいます。

そのため、SiteGuard WP プラグインでは、このメッセージを単一のメッセージに変更し、どちらが間違っているかをわからなくすることができます。

共通のエラーメッセージ

ログインロック

指定した時間や回数で、ログインに失敗した場合にその接続先からのアクセスを一定時間ロックし、ログインできないようにします。

ログイン画面をロックします

ログインアラート

WordPress にログインがあると、メールでログインがあったことをお知らせしてくれます。ログインされた時間・IPアドレス・リファラー・ユーザーエージェント情報も合わせて教えてくれます。

万が一不正ログインがあった場合にもすぐに気づくことができます。

フェールワンス

正しいログイン情報を入力しても必ず1度ログインを失敗にし、一定秒数以降、一定秒数以内に正しいログイン情報を入力することで、ログインができるようになる機能です。正しいログイン情報でのログインを失敗させることにより、そのログイン情報が間違っているかのようにみせることができます。

ピンバック無効化

WordPress にはピンバックという、他の WordPress サイトへリンクされた時にお知らせを受ける機能がありますが、この機能を無効にできます。WordPress ではピンバック機能を悪用しDDoS攻撃の踏み台(※2)にされるようなケースが発生しています。

(※2 特定のサイトに対して複数の WordPress を利用して大量のピンバックを送りつけ、特定サイトへ高負荷をかける攻撃のことです。)

更新通知

WordPress 本体、プラグイン、テーマに更新があった場合に、メールでお知らせしてくれます。

WAFチューニングサポート

ご使用中の Web サーバーに JP-Secure 製の WAF ( SiteGuard Lite ) が導入されている場合に有効な設定です。(ロリポップ・Heteml などで導入されています。)WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。

ログイン履歴の表示

プラグインを有効化すると、ログイン履歴が自動的に表示されるようになります。何時にどのユーザーがどの IP アドレスでログインしたかが一目瞭然です。

ログイン情報

動作環境、使用方法、FAQなど SiteGuard WP プラグインの公式サイトにもございますのでこちらもご参照下さい。SiteGuard WP Plugin

SiteGuard WP プラグインを導入すると、このようにいくつもの対策でサイトを守ってくれます。ブルートフォースアタックにはかなり効果的なのではないかと思います。プラグインで手軽に導入できるので、是非導入して大切な WordPress を守りましょう。

WordPress のセキュリティについて以前この Developers Blog でも取り上げました。「ハッカー(クラッカー)の気持ちで考えるWordPressのセキュリティー対策」よろしければこちらの記事もご参考になさってみて下さいね。

この記事を書いた人

Saori
HTML / CSS / jQuery が好きです。PHP / WordPress を現在猛勉強中です。
趣味は、愛犬のお散歩とインターネットを見ること、おいしいものを食べることです。どうぞよろしくお願いします。

スポンサーリンク
投稿タグ