WordPressを使って日々ブログを運用してる方は、必ず管理画面にログインすることになります。
その際にどうやってログインしますか?
ID・パスワードだけ入力(あるいはブラウザで記憶しておいて)でしょうか。
いくらIDやパスワードを強固にしてもセキュリティ的に心許ないと思いませんか?
以前にこんな記事を書きました。
ログインURLを変更してセキュリティを強化するのも一手ですが、URL変更以外にもセキュリティを強固にする方法があるのです。
しかも、プラグインを使えば簡単に出来るとなったら興味出てきませんか?
SiteGuardというプラグインを使うと一発で解決できるのです。
SiteGuardは画像認証を実装したり、以前に紹介したURL変更ついても簡単に出来てしまう優れたプラグインです。
ってことで使い方を一部ですがご説明したいと思います。
SiteGuardとは
SiteGuardとは株式会社ジェイピー・セキュアさんが開発したWordpress用のセキュリティプラグインです。
他にもWAF(Web Application Firewall)の製品を作ってるところで実績もなかなかのもの。
多機能でありながらも無料で利用できるのがありがたいと思います。
SiteGuardをインストールする
WordPress管理画面から、プラグイン→新規追加とクリックし検索文字列に「SiteGuard」と入力すると下記のように表示されます。
SiteGuard WP Plugin が今回インストールしたいプラグインなので、「今すぐインストール」をクリックしインストールします。
インストール後、有効ボタンをクリックして有効にしましょう。
これでSiteGuardの機能が使えるようになりました。
但しこのままでは何もしてないのと一緒なので、本題であるセキュリティの強化の手順を説明しますね。
画像認証を設定する
画像認証とは
画像認証とは、以下のようにログインID・パスワード以外に画像表示された文字列を入力しセキュリティを強固にするという手段の1つです。
ログイン画面(画像認証つき)
表示される画像(文字列)は随時変わります。
- ログインID
- パスワード
- 画像認証の文字列
の3つの組み合わせが全て合わないとログイン出来ないようになっています。
SiteGuardの画像認証は4文字(アルファベット・数字)の組み合わせなので、ID・パスワードだけの認証と比べると約1700万通りの組み合わせが追加されることになり、侵入を阻止できる確率が増えます。
WordPressが乗っ取られるケースとして、ID・パスワードを自動プログラムで総当たりに投げて攻撃(ブルートフォースアタック)する手法が考えられますが、画像認証があるとより防御力が高くなるのは自明の理ですね。
サイト攻撃者にとって侵入出来るハードルが高くなり、諦めて攻撃しないことを誘発できるので是非実装しておきたいところです。
SiteGuard画像認証設定方法
SiteGuardで画像認証設定は実に簡単です。
画像認証設定画面
WordPress管理画面から、SiteGuard→画像認証をクリックし上記設定画面を出して設定するだけです。
ON/OFFボタン
ONにすると、画像認証が有効になるので使う場合はON(今回は使いますから当然ONで。)
使わない場合はOFFにしましょう。
ログインページ
- ひらがな
- 英数字
- 無効
ログイン画面に画像認証を入れる際は、「ひらがな」もしくは「英数字」を選択してボタンにチェックを入れて下さい。(デフォルトは無効になっています。)
コメントページ
- ひらがな
- 英数字
- 無効
ブログにコメント機能を有効にしている人は「ひらがな」もしくは「英数字」を選択しておけばスパム投稿の防止に役立ちます。
使ってなければ無効で。
パスワード確認ページ
- ひらがな
- 英数字
- 無効
パスワード確認ページは通常は使うことありませんが、攻撃者が万が一ID・パスワード・画像認証を突破した際の更なる攻撃を食い止めるために、ひらがなか英数字を設定しておくことをお勧めします。
ユーザー登録ページ
- ひらがな
- 英数字
- 無効
ユーザー登録ページを実装している人は「ひらがな」もしくは「英数字」を選択しておけばスパムユーザー拡散防止に役立ちます。
使ってなければ無効で。
上記内容を設定したら、「変更を保存」ボタンを押して設定変更します。
変更後、一度管理画面をログアウトしてログイン画面を開いて戴き、上記画像認証画面が出ていることを確認して下さい。
実に簡単に設定出来ますので、ぜひやっておきましょう。
ログインURLを変更する
ログインURLは以前の記事の方法も変更が可能ですが、SiteGuardだと更に簡単に変更が出来ます。
.htaccessファイルを自分で編集したくない場合は以下の方法で設定しちゃいましょう。
画像認証だけでもある程度のセキュリティは保たれますが、可能であればログインURLを変えておけばさらに安心です。
SiteGuardログインURL変更方法
ログインURL変更方法も実に簡単。
ログインページ変更
WordPress管理画面から、SiteGuard→ログインページ変更をクリックし上記設定画面を出して設定していきます。
ON/OFFボタン
ONにすると、ログインURL変更が有効になるので使う場合はONで。
使わない場合はOFFにしましょう。
使ってる状態(ON)から使わない状態(OFF)にすると、
https://mysitedomain/wp-login.php
のようにデフォルトのログインURLに戻りますのでご注意を。
変更後のログインページ名
テキストボックスの部分には
login_12345
とデフォルトで文字列が入っているので、数字部分を好きな半角文字列に変更しましょう。
「login_」(アンダーバーまで)の部分は分からなくなるので変えない方が良いと思います。
login_sagik097gass354sk3
のように特定できない文字列を使えばセキュリティがより強固になります。
上記内容を設定したら、「変更を保存」ボタンを押す前に、変更したURL文字列は必ずメモ帳などに保存しましょう。
ログインURLが変更されてしまい、自分が分からなくなってはとても残念ですから。
ログインURLをメモしたら、「変更を保存」で設定を変更します。
変更後、一度管理画面をログアウトします。
変更直後のログアウト時は、404のエラー画面が出ますが、ログアウト後のURLも変更されているためで一旦は無視して下さい。
ログアウト後に、アドレスバーに
https://mysitedomain/(自分が設定した文字列)
→ 上記の例であれば https://mysitedomain/login_sagik097gass354sk3
と入力しログイン画面が出ることを確認しましょう。
ログイン画面が出ましたら、そのページをブックマーク(お気に入り)に入れておけば次回からはブックマークからアクセスできるようになりますのでお忘れなく。
ログインした・された際にメールで通知する
不正ログインを防ぐのも大事ですが、ログインされた瞬間はなかなか気づきにくアクションが遅れることがあります。
そこで、ログインした際にメールで通知する機能もSiteGuardで実装しています。
プラグインをインストール→有効化したときにデフォルトでONの設定になっています。
通知設定画面
通知先のメールアドレスは、WordPress管理画面→設定→一般 の中で設定しているメールアドレスとなります。(複数アドレスの設定は出来ない。)
もし、この通知機能を使いたい場合はメールアドレスを正しく設定しておきましょう。
ここで登録しているメールアドレスはお問い合わせフォーム等で使用してる場合もあるのでアドレス変更は慎重に。
複数ユーザーでWordPressを運用してる場合、誰かがログインすればユーザーID:○○がログインしました、の内容のメールが届きます。
SiteGuard→ログインアラート の上記画面でメール送信する際のタイトルや本文を任意に変更出来ます。
そのままでも十分使えるので分からなければ何も触らずOKです。
SiteGuardのその他機能も使っていくとより安全です
今回は説明は割愛しますが、今まで説明して内容を設定すれば概ね問題なくWordPressの運用が出来ると思います。
SiteGuardではほかにもログイン履歴を確認したり、ログインロックをする閾値を変更したりなどの細かい設定も可能となっております。
もし余裕があれば使ってみて下さい。
最低限、画像認証かログインURL変更は設定しましょう
以上が、WordPressをより安全に利用するための設定(画像認証・ログインURL設定)を説明してきました。
プラグインをインストールして設定するだけでより安全になりますので、是非やってみて下さい。