• RSS

[WP]不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグインの機能について

  • このエントリーをはてなブックマークに追加
  • follow us in feedly

WordPress 管理画面への不正アクセスを防御するため、各種アクセス制限やログイン履歴の監視、ログインアラート、ロックアウトなどの機能がセットになったプラグイン「SiteGuard WP Plugin」のご紹介です。

SiteGuard WP Plugin プラグインのインストール

管理画面のプラグイン新規追加より SiteGuard WP Plugin を検索するか、以下のページからプラグインファイルをダウンロードします。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン


SiteGuard WP Plugin でできること

SiteGuard WP Plugin プラグインを有効化したら、管理画面左メニュー「SiteGuard」をクリックすると、
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

SiteGuard WP Plugin ページのダッシュボードに移動します。
すでにいくつかの機能が最初からON になっています。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ダッシュボードページにも載っています通り、SiteGuard WP Plugin プラグインでは以下の機能が使えるようになります。


管理ページアクセス制限

まずは「管理ページアクセス制限」ですが、これは外部からの管理画面に対する攻撃を防御する機能です。

ログインが行われていない接続元IPアドレスから、wp-admin/ ディレクトリ以下のファイルへアクセスされることを防ぎます。アクセス制限を除外するファイルがあれば、「除外パス」欄に複数指定することができます。

また、この機能を使う前提として、mod_rewrite がサーバーにロードされている必要があります。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログインページ変更

管理画面のログインページを、デフォルトの/wp-login.php から別のURL に変更します。

「変更後のログインページ名」にデフォルトのページ名が入っていますが、これは自由に設定することができます。ログインページ変更機能をONにしたら、「変更後のログインページ名」に記載されたURL からログインを行うようにします。

また、こちらも「管理ページアクセス制限」同様、mod_rewrite がサーバーにロードされている必要があります。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

画像認証の追加

管理画面などのログイン時に「画像認証」を追加します。

画像認証を追加できる場所(ページ)は、「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」の4ケ所になります。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログインページページに画像認証を追加すると、以下のようになります。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログイン詳細エラーメッセージの無効化

ログイン失敗時に表示されるエラーメッセージを変更できます。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

どの入力項目が間違っていたのか判別できないよう、ユーザー名、パスワード、画像認証のどれを間違えても、全て同じエラーメッセージを表示します。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログインロック

ログイン失敗を繰り返す接続元を、一定期間ロックできます。
ログインロックページで「期間」「回数」「ロック時間」を設定します。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログインアラート

WordPress へのログイン時に、管理者などにメールで通知する機能です。
不正なログインを察知することができますので、是非ともONにしていきたい機能です。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

メールのメッセージは、デフォルトではこのようになっていますが、
%DATE% %TIME%に%USERNAME%がログインしました。
== ログイン情報 ==
IPアドレス:%IPADDRESS%
リファラー:%REFERER%
ユーザーエージェント:%USERAGENT%
--
SiteGuard WP Plugin
以下の変数を使用して、自由にメッセージを変更することができます。
サイト名:%SITENAME%
ユーザ名:%USERNAME%
日付:%DATE%、時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%

フェールワンス

正しいアカウントでログインをしても、ログインを一回失敗するという機能です。
5秒以降、60秒以内に正しいアカウントで再度ログインすると成功します。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ピンバック無効化

ピンバックの悪用を防ぐ機能です。

ピンバックとは、ブログ記事内にどこかのサイトのURL を掲載すると、そのサイトにリンクが貼られたことを自動で通知する機能です。ピンバック機能を悪用したDDoS攻撃の報告もありますので、ピンバック機能が不要な場合はON のままにしておいた方が良いです。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

更新通知

WordPressのコア(本体)、プラグイン、テーマファイルの更新が必要になった際に、管理者にメールで通知する機能です。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

WAFチューニングサポート

WAF(ウェブ・アプリケーション・ファイアウォール)の除外ルールを作成し、誤検知を防止する機能です。

「この機能を使用するには、WAF (SiteGuard Lite)が、サーバーにインストールされている必要があります。」とのことなので、SiteGuard Lite を利用していない場合は特に設定の必要はないかと思います。(当ブログではサーバーのWAFが有効になっているため、このチューニングサポート機能は利用しておりません。)
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログイン履歴

SiteGuard WP Plugin のダッシュボードページ下部で「ログイン履歴」を確認することできます。
不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグイン

ログイン結果として「成功」「失敗」が表示され、ログイン試行時のログイン名やIPアドレスも表示されます。



  • このエントリーをはてなブックマークに追加
  • follow us in feedly

コメント

コメントを残す