お手軽にWordPressセキュリティ対策！SiteGuard WP Pluginプラグインのご紹介｜コーディング、Web開発の外注、代行ならコーディングアライブ

こんにちは、アライブテックチームの村松です。
WordPressでのサイト運営において、セキュリティ対策はどうされてますか？
下記の記事でもお伝えしているように、WordPressは人気のCMSなだけにセキュリティリスクも高いんです！

コーディングの外注・代行ならコーディングアライブ

 

https://coding-alive.jp/blog/p1625

PHPやWordPressをアップデートしないとどうなる？

こんにちは、あるいはこんばんは。23年4月に入社しました、アライブテックチームの新人・村松です（ SPY×FAMILY毎週楽しみ）。初めてのブログ執筆でドキドキです。どうぞよろしくお願いします。 「PHPの更新を推奨」「WordPress x.x.xが利用可能です！」の表示を見たら…この記事を読まれてる方が普段目にされているWordPressの管理画面には、こ〜んな表示や、こ〜んな表示が出ている方もいらっしゃるのかもしれませんね。結論から言いますと、この表示をスルーしていると危険です！ただし、自己判断で更新を進めてしまうのも危険...

今回は、企業のWeb担当者さんのような専門的な知識がない方でもお手軽にWordPressのセキュリティ対策が実施できるプラグイン『SiteGuard WP Plugin』をご紹介いたします。

セキュリティに関して気になる方は、どうぞこちらも合わせてご参考ください。

コーディングの外注・代行ならコーディングアライブ

 

https://coding-alive.jp/blog/p1419

WordPressのWAF設定を簡単に！NinjaFirewall (WP Edition) 初期設定

WordPressは世界的に有名なオープンソースのCMSで、コーディングアライブの制作でも多く利用しています。カスタマイズ性に富み、なおかつ無料で利用できる範囲が広いWordPressはとても人気があり、多くの企業や団体が利用していますが、オープンソースでかつ人気があるシステムは、無差別なサイバー攻撃を受けるターゲットになりやすいということでもあります。セキュリティをどこまでやるか？というところは難しく、お金と技術をできる限り投資してガチガチに固めたサイトがそれ以上の攻撃で突破されることもありますし、逆にゆるゆる...

SiteGuard WP Pluginってどんなプラグイン？

SiteGuard WP Pluginは、日本の企業「株式会社ジェイピー・セキュア」という会社によって開発されました。
WordPressのセキュリティ対策用無料プラグインです。
現在は「EGセキュアソリューションズ株式会社」により運営・保守がなされています。
安心と信頼の純日本産プラグインです！

SiteGuard WP Pluginで対策できること

SiteGuard WP Pluginの機能を使ってできるお手軽なセキュリティ対策を抜粋して紹介します。

ログインURLが変更できる

WordPressサイトへの攻撃で最もポピュラーなのが、不正ログインによるサイトの改ざんです。
デフォルトではWordPressd管理画面へのログインURLは「https://example.jp/wp-loghin.php」というURLになります。
変更しなければどんなWordPressサイトもドメインの後に「/wp-loghin.php」と付けるだけでログイン画面にアクセスできてしまうのです。
それは攻撃者も周知のことなので、変更しないとそこを狙ってパスワードを総当たりで入力し不正ログインを試みる「ブルートフォース攻撃」などの対象になってしまうのです。

使用方法

SiteGuard WP Pluginでは、下記のような画面で簡単に任意のURLに変更が可能です。

赤枠の部分に任意の文字列を入力し「保存」ボタンを押せば、簡単にログインURLが変更できます。
プラグイン有効化と同時に「ON」になりランダムな数字が入ってしまうので、導入の際はご注意くださいね。

画像認証

プログラム(Bot)による総当たり攻撃を防ぐのに有効な設定です。
ログイン画面に文字の画像を表示させ、その文字を入力することにより人間かBotかを判別し不正ログインを防ぎます。

ログイン画面の例ですが、設定すると赤枠部分のような認証用画像と入力欄が表示されるようになります。

使用方法

プラグイン有効化時点でONになっています。
「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」に設置できるようになっており、「ひらがな」での画像認証、「英数字」での画像認証が選択可能です。
必要ない箇所には「無効」を選択しましょう。

ログイン詳細エラーメッセージの無効化

ログイン時に入力した内容が間違っていた場合、「ユーザー名が違います」「パスワードが違います」など、どの入力ミスかを特定させないよう、
「入力内容を確認の上、もう一度送信してください」というエラー文のみを表示させるように設定できる機能です。

使用方法

有効化時に自動でONになります。ON / O FFのボタン切り替えのみで設定できます。

ログインロック

ログイン失敗を繰り返すユーザーのIPアドレスからのログインを一定期間ブロックする機能です。
Botによる総当たり攻撃に有効です。

使用方法

プラグイン有効化時点でONになっています。
ログイン失敗の繰り返しを指定期間に指定回数超えるとブロックが始まる仕組みです。
「期間」…失敗を繰り返す期間を設定します
「回数」…何回失敗するとブロックを開始するかを設定します
「ロック時間」…失敗を繰り返すユーザーのIPアドレスをブロックする期間を設定します

XMLRPC防御

「XMLRPC」とは、WordPressが採用している通信機能の一つです。
WordPress本体データの一部にある「xmlrpc.php」というファイルで制御されています。
このxmlrpc.phpを悪用し、総当たり攻撃が可能になる不正アクセスの方法があります。

使用方法

有効化時ONにはなっていますが、「ピンバック無効化」にチェックが入っています。
「XMLRPC無効化」に切り替え保存しましょう。

一部のプラグインでは、XMLRPCの機能を使用しているものもあります。
無効化してしまうとそのプラグインが機能しなくなってしまいますので、設定の際は対象のプラグインが使用されていないかをよく確認しましょう！

まとめ

以上、一部ですがSiteGuard WP Pluginを使用してのお手軽なセキュリティ対策についてご説明しました。
アライブで制作したサイトには、すべてSiteGuard WP Pluginが標準装備となっています。
サイトだけでなくサーバーにもできる限りのセキュリティ対策を施しております。
弊社では脆弱性診断などのサービスも承っております。
セキュリティに不安のあるWeb担当者様、よろしければぜひ一度弊社へお気軽にご相談くださいませ！