こんにちは、まりこです。
【SiteGuard WP Plugin】は、WordPressにインストールするだけで、セキュリティ対策ができるシンプルなプラグインです。不正ログインや、管理ページ(/wp-admin/)への不正アクセス、コメントスパムを防ぐことができます。
ブログのコメント欄に、記事と関係のない広告等を書き込むこと。→迷惑メール
【SiteGuard WP Plugin】とは、「SiteGuard(サイトガード)」の名前の通り、
サイトを守ってくれるプラグインです。
それでは、【SiteGuard WP Plugin】をインストールしていきましょう♪
【SiteGuard WP Plugin】のインストール方法
まず、WordPress のダッシュボードにログインします。
そうしたら、左のメニューの【プラグイン】をクリックします。
下のような画面が出てくるので、【新規追加】をクリックします。
次の画面に切り替わったら、右上の検索窓に【SiteGuard WP Plugin】と入力します。
①画面が変わって、【今すぐインストール】をクリックします。
②【今すぐインストール】が【有効化】に変わったら、【有効化】をクリックします。
画面が変わって、有効化出来ました^^
そしてこのとき、『ログインページ URL が変更されました。』と出ます。
変更されました。SiteGuardは有効化するだけで、セキュリティが強化されます。
『新しいログインページURL』の部分をクリックすると、
ログイン画面が表示されます。
このページをブックマークしておきましょう!
【SiteGuard WP Plugin】の設定方法
WordPress の管理画面の左のメニューの【SiteGuard】にカーソルをあてて、
出てきたメニューの【ダッシュボード】をクリックします。
『SiteGuard WP Pluginのダッシュボード』画面が出ます。
【設定状況】に、緑色のチェックが入っている項目は設定が【ON】になっています。
上から順番に見て行きましょう!
まず、【管理ページアクセス制限】の文字をクリックします。
◇管理ページアクセス制限
IPアドレスとは?
IPアドレスは、スマホやPCなど、ネットワーク上の機器に割り当てられるインターネット上の住所のような存在だ。インターネットでページを閲覧したり、メールの送受信を行うには、データの送信元や送信先を識別しなくてはいけないが、この識別に使われる番号がIPアドレスだ。ネットワーク上でデータを送受信する際、通信相手を指定するために使われている。
WordPressを始めたばかりの方やIPアドレスの意味がわからない、FTPでサーバーの中を触らない方は、一旦はOFFのままでも良いと思います。
ONにすると最悪ログイン出来なくなることがあります。
私もログイン出来なくなることがありました(^^;
次の【ログインページ変更】で、「管理者ページからログインページへリダイレクトしない」にチェックを入れておけばOKです。
左側の【SiteGuard】の下に設定確認の項目がありますので、【ログインページ変更】をクリックします。
これ以降の設定は、順番に、項目をクリックしていってくださいね。
こちらは、デフォルトのままONで大丈夫です。
この【SiteGuard WP Plugin】をインストールした時、ログインページの変更
は完了しているので、変更後のログインページ名の URL(赤い枠で囲った部分)
をメモかブックマークしておきましょう。
また、http(s)://サイトURL/wp-admin/(ブログURL)でログイン画面を見せたくない方は、オプションの「管理者ページからログインページへリダイレクトしない」にチェックを入れると、ログイン画面に移動(リダイレクト)させなくすることができます。
ログインページ変更は、
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。お好みの名前に変更することもできますが、メモかブックマークを忘れないでくださいね!
◇画像認証
こちらも、デフォルトのままで大丈夫です。
「ON」にしておけば、ログイン画面に「画像認証」を設置できます。
画像認証を設置すると、ログイン画面は下図のようになります。
(赤く囲った部分が画像認証)
ログイン時、ID ・パスワード入力に画像認証も加わると、
より一層不正アクセスは難しくなります。
◇ログイン詳細エラーメッセージの無効化
これも、デフォルトのままで大丈夫です。
この設定を「ON」にしておくと、ログインに失敗したときに表示されるメッセージ
が毎回同じ内容になります。
WordPress初期設定では、ログインに失敗したとき、
なぜ失敗したかを教えてくれる機能があります。
それは、
不正ログインを成功させるためのヒントを与えてしまうことになります。
ログインに失敗したときに毎回同じ内容が表示されるようにしておけば、
何が原因でログインに失敗したかは分からないままになるので、
不正アクセスを防ぐことができます。
◇ログインロック
これも、デフォルトのままで大丈夫です。
この設定を「ON」にしておけば、ログインに繰り返し失敗したユーザーに
対して、一定時間ログイン出来ないように、ロックすることができます。
◇ログインアラート
これも、デフォルトのままで大丈夫です。
「ON」にしておくことで、WordPress の管理画面へログインしたら、
メールで通知してくれます。
これで、不正アクセスに気づくことができます。
この通知はあなた自身がログインしたときにも送られてきます。
なので、「自分でログインしただけなのに何で通知がくるの!?」と
思わなくてOKです^^
◇フェールワンス
これも、デフォルトのままで大丈夫です(OFF)。
この設定を「ON」にすると、
正しいログイン情報を入力しても、1回目だけログインが失敗します。
毎回、1回目だけログインを失敗するのは面倒くさいでしょうから、
この設定は「OFF」で良いと思います。
◇XMLRPC防御
これも、デフォルトのままで大丈夫です。
(デフォルトでは、「ピンバック無効化」にチェックが入った状態で「ON」
になっています。)
「ピンバック」とは、WordPress に備わっている機能の一つで、あなたのブログにリンクが貼られたことを通知する機能です。
自分のブログの過去の記事を参照するために内部リンクを貼ったとします。
すると、WordPress が自動的に、自分のブログから自分のブログにピンバックを送信してしまうんです。
そのたびにピンバック通知が来ては面倒ですよね。
そういう訳で、ピンバックを送信しないように無効にした方が良いです。
大量のピンバックを送りつけてサーバーが攻撃されることを防ぐためにも、ピンバックの無効化にチェックします。
◇ユーザー名漏えい防止機能
初期設定では「OFF」になっていますが、WordPressのログインユーザー名を知られたくない方は「ON」にしておくと良いでしょう。
変更したら、変更を保存をクリックします。
◇更新通知
更新通知は、WordPressやプラグイン・テーマに、更新があった時に通知してくれます。
デフォルトでは「ON」になっているのですが、更新通知が頻繫に届いてしまうため、「OFF」にしておいても良いと思います。
私は、「ON」にしています。
設定変更後は、「変更を保存」をクリックしてください。
◇WAFチューニングサポート
サーバーにWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知を避けるためのルールを作成します。
「OFF」に設定しておきます。
レンタルサーバーでWAFが有効化されている場合に、まれに誤検知で
WAFによるエラー(403エラー)が起きる場合があります。
そういった場合、「ON」にすれば、WAFの除外設定を行うことができます。
◇詳細設定
詳細設定は、IPアドレスの取得方法を設定する機能です。通常はリモートアドレスでOKです。
◇ログイン履歴
ログイン履歴は、ログインの履歴を確認できます。
不正ログインをチェックする事ができます。通常は何もしなくてOKです。
まとめ
お疲れ様でした^^
ブログに慣れてきたら、自分に合ったセキュリティ対策プラグインを併用すると良いと思います。
しかし、たくさんのプラグインを導入するとブログが重くなってしまうので、お気を付けください。
あなたのブログを守るために、セキュリティ対策はとても大切です。
まずは、パスワードを複雑にするなど、
基本的なところをしっかり設定しておきましょう!