WordPressサイトへの不正アクセスを防止する、セキュリティ関連のプラグイン、SiteGuard WP Pluginを導入して、サイトのセキュリティーをアップグレードしました。
この記事は、SiteGuard WP Pluginの導入・設定について記録しています。
SiteGuard WP Pluginの必要性
このサイトが加入しているレンタルサーバーである、ConoHa WINGでは、WordPress導入時にデフォルトで入っています。
入っていましたが、これまで利用していませんでした。
今回、導入しようと思ったきっかけは、
1)ログイン画面のURL変更により、不正ログイン(アカウントの乗っ取り)が防ぎやすくなる
2)1)によりサイトデータ改竄されたり、サイトによっては、個人情報の流出の被害リスクを低減できる
3)スパムコメントの低減できる
などの効果が期待できるからです。
そして、今回導入に最も効果が出たのが3)のスパムメールの低減です。
これは、導入前から結構悩まされていたのですが、このプラグインで、ほぼ解決しています。
この効果に浴するだけでも、SiteGuard WP Pluginを導入するメリットはあると思います。
お勧めします。
SiteGuard WP Plugin導入手順
SiteGuard WP Pluginを導入したいサイトのWordPress管理画面にログインしてください。
(SiteGuard WP Pluginがインストールされていない場合)
左メニューの「プラグイン」>「新規プラグインを追加」をクリックして、右側のテキストボックスに「SiteGuard WP Plugin」と入力して、出てきたSiteGuard WP Pluginの「今すぐインストール」をクリックし、そのあとに「有効化」をクリックします。
(すでにSiteGuard WP Pluginがインストールされている場合)
左メニューの「プラグイン」>「インストール済みプラグイン」をクリックして、SiteGuard WP Pluginを探して「有効化」をクリックします。
「有効化」が完了すると、以下のメッセージが表示されます。
「ログインページURLが変更されました。ブックマークしてください新しいログインページURLをブックマークしてください。設定変更はこちら」
上記画像の赤枠部分をクリックすると新しいURLのログイン画面が表示されますので、そのまま使われる場合は、ブックマークしてください。
ログイン画面のURL変更に加え、下の画像のログイン画面上の赤枠で囲ったところが、SiteGuard WP Pluginの導入により変更されています。表示されたひらがなを入力するように求めています。
これだけでも協力な対策に思います。2バイト文字圏の国以外からの攻撃が軽減しそうです。
以上でSiteGuard WP Pluginの導入が完了しました。
SiteGuard WP Pluginの設定(最低限)
ここでは、必要最低限と思われる設定について記録します。私のサイトで設定したものとなっています。
SiteGuard WP Pluginのダッシュボードは以下のようになっていて、設定が有効となっている項目は緑のチェックが入っています。
管理ページアクセス制限
機能は以下の通りです。
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
プラグインの当該機能の説明書きより引用
この機能は、初期設定では、「無効」となっていますので、これを「有効」にします。
クリックして「変更を保存」をクリックして設定変更します。
ログインページ変更
この機能は、初期設定で「ON」設定となっており、プラグインを有効化したと同時に
ログインページのURLが変更されています。
というように、login_のあとに5桁の欄数字が自動的に割り当てられます。
ここに指定できるのは、
英数字、ハイフン、アンダーバーです。
お好みの文字列を指定してもOKです。
「管理者ページからログインページへリダイレクトしない」をチェックすると、
ログインしていない状態で/wp-admin/にアクセスした場合に、変更されたログインページではなく、
トップページにリダイレクトされます。
なので、
「管理者ページからログインページへリダイレクトしない」をチェックして、「変更を保存」します。
画像認証
画像認証は、初期設定で有効となっています。
不正にログインを試みる攻撃や、コメントスパムを受けにくくする機能だそうです。
初期設定のままでOKと思いますが、1バイト文字圏からのコメントを受ける場合は、「コメントメージ」欄の「ひらがな」を「英数字」欄にラジオボタンをアクティブに変更すると良いと思います。
この項目を変更した場合は、「変更を保存」をクリックします。
私の場合ここは初期設定のままとしました。
以上が、このプラグイン導入時に設定した項目となります。実質「管理ページアクセス制限」と「ログインページの変更」の2項目だけでした。
その他の項目については追々、チューニングすればよいかと思います。
まとめ
SiteGuard WP Pluginをサイトに導入しました。
ログイン画面に従来と異なる操作として画像表示されたひらがなを入力する手間が増えました。
しかしながら、以下の画像のように、記事コメント欄にも同じように画像表示されたひらがなを入力しないとコメントが入らないようになったため、コメントスパムが来なくなりました。
この点、非常にうれしい効果だと思っています。
このプラグイン導入後、スパムが一通も来ていません、最高です。
このプラグインについては、あるのは知っていましたが、導入効果がよくわかんなかったのでほったらかしにしていました。今にしてみれば、さっさと入れておけばよかったと思っています。
この記事がお役に立てれば幸いです。
SiteGuard WP PluginがついてくるレンタルサーバーConoha Wing
WordPressやるなら、ConoHa Wingをお勧めします。
ConoHa WINGは、WordPress導入時、デフォルトプラグインとして今回ご紹介したSiteGuard WP Pluginが導入されています。
なので、
サイト立ち上げ時に、このSiteGuard WP Pluginを有効化するだけで最初からセキュリティー面で優位性を保持しています。
ほかにも・・・・
★☆★ <国内最速No.1>高性能レンタルサーバー【ConoHa WING】 ★☆★
●処理速度No.1のレンタルサーバー
「ConoHa WING」は、最新のCPUと高速SSDを搭載。
さらに独自チューニングのコンテンツキャッシュ機能やLiteSpeed LSAPIにより
超高速化されたレンタルサーバーです。
Webサーバー処理速度調査では、国内レンタルサーバーサービスの中で処理速度が【No.1】。
今までにない高速環境で利用できます。
●国内最安値水準!月額800円で利用可能
「ConoHa WING」は、初期費用無料、最低利用期間無し、月額968円から利用できます。
料金体系には月額定額制と、利用期間が1ヶ月に満たない場合は、自動的に1時間単位の課金に切り替わる時間課金制があり、
常に一番安い料金のお支払いとなり無駄を省いた最小限のコストで利用ができます。
また、長期利用割引プラン「WINGパック」のお申込みなら通常料金より最大33%オフで、
さらに、初回の申込月は無料で利用できるので大変お得です。
●WordPressに最適なレンタルサーバー
「ConoHa WING」は、独自にチューニングした強力なキャッシュ機能が標準で
提供されていて、数万リクエスト/秒の膨大なアクセスにも対応しています。
また、コントロールパネル上からかんたんにWordPressのインストールと、
他社サーバーから移行ができ、WordPress専用クラウドにも負けない高性能で
とても使いやすいサービスです。
●充実の高機能と安心のセキュリティ
「ConoHa WING」は、全てのプランにおいて、マルチドメインやデータベース、
メールアドレスを無制限に利用できて、1台のサーバーで複数Webサイトの運用ができます。
最新のPHP7への対応はもちろん、MySQLやSSH、Cronなど多くの機能に対応しているので、
いろいろな用途に利用できます。
さらに、Webアプリケーションを通した不正侵入を防御できるWAF機能や、
ウイルスチェック、スパムメールフィルタ機能も標準搭載しているので、
長く安心して利用できます。
●より安定性重視のリザーブドプラン
「ConoHa WING」は、通常のリソース共用型プランのほか、CPU・メモリなどの
リソースを1サーバー毎に割り当てていて、他のお客様の利用状況に影響されず、
収容ホストの負荷が上昇しても常に安定した環境で利用できる「リザーブドプラン」もあります。
また通常型プランとリザーブドプラン間のプラン変更はいつでも自由にできるので、
自身のニーズに合わせた、柔軟な利用が可能です。
「ConoHa WING」は、通常のリソース共用型プランのほか、CPU・メモリなどの
リソースを1サーバー毎に割り当てていて、他のお客様の利用状況に影響されず、
収容ホストの負荷が上昇しても常に安定した環境で利用できる「リザーブドプラン」もあります。
また通常型プランとリザーブドプラン間のプラン変更はいつでも自由にできるので、
自身のニーズに合わせた、柔軟な利用が可能です。