[WP]不正アクセスからWordPress を守る「SiteGuard WP Plugin」プラグインの機能について
スポンサード
SiteGuard WP Plugin ページのダッシュボードに移動します。
すでにいくつかの機能が最初からON になっています。
ダッシュボードページにも載っています通り、SiteGuard WP Plugin プラグインでは以下の機能が使えるようになります。
ログインが行われていない接続元IPアドレスから、wp-admin/ ディレクトリ以下のファイルへアクセスされることを防ぎます。アクセス制限を除外するファイルがあれば、「除外パス」欄に複数指定することができます。
また、この機能を使う前提として、mod_rewrite がサーバーにロードされている必要があります。
「変更後のログインページ名」にデフォルトのページ名が入っていますが、これは自由に設定することができます。ログインページ変更機能をONにしたら、「変更後のログインページ名」に記載されたURL からログインを行うようにします。
また、こちらも「管理ページアクセス制限」同様、mod_rewrite がサーバーにロードされている必要があります。
画像認証を追加できる場所(ページ)は、「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」の4ケ所になります。
ログインページページに画像認証を追加すると、以下のようになります。
どの入力項目が間違っていたのか判別できないよう、ユーザー名、パスワード、画像認証のどれを間違えても、全て同じエラーメッセージを表示します。
ログインロックページで「期間」「回数」「ロック時間」を設定します。
不正なログインを察知することができますので、是非ともONにしていきたい機能です。
メールのメッセージは、デフォルトではこのようになっていますが、
5秒以降、60秒以内に正しいアカウントで再度ログインすると成功します。
ピンバックとは、ブログ記事内にどこかのサイトのURL を掲載すると、そのサイトにリンクが貼られたことを自動で通知する機能です。ピンバック機能を悪用したDDoS攻撃の報告もありますので、ピンバック機能が不要な場合はON のままにしておいた方が良いです。
「この機能を使用するには、WAF (SiteGuard Lite)が、サーバーにインストールされている必要があります。」とのことなので、SiteGuard Lite を利用していない場合は特に設定の必要はないかと思います。(当ブログではサーバーのWAFが有効になっているため、このチューニングサポート機能は利用しておりません。)
ログイン結果として「成功」「失敗」が表示され、ログイン試行時のログイン名やIPアドレスも表示されます。
スポンサード
WordPress 管理画面への不正アクセスを防御するため、各種アクセス制限やログイン履歴の監視、ログインアラート、ロックアウトなどの機能がセットになったプラグイン「SiteGuard WP Plugin」のご紹介です。
目次
SiteGuard WP Plugin プラグインのインストール
管理画面のプラグイン新規追加より SiteGuard WP Plugin を検索するか、以下のページからプラグインファイルをダウンロードします。SiteGuard WP Plugin でできること
SiteGuard WP Plugin プラグインを有効化したら、管理画面左メニュー「SiteGuard」をクリックすると、 SiteGuard WP Plugin ページのダッシュボードに移動します。
すでにいくつかの機能が最初からON になっています。
ダッシュボードページにも載っています通り、SiteGuard WP Plugin プラグインでは以下の機能が使えるようになります。
管理ページアクセス制限
まずは「管理ページアクセス制限」ですが、これは外部からの管理画面に対する攻撃を防御する機能です。ログインが行われていない接続元IPアドレスから、wp-admin/ ディレクトリ以下のファイルへアクセスされることを防ぎます。アクセス制限を除外するファイルがあれば、「除外パス」欄に複数指定することができます。
また、この機能を使う前提として、mod_rewrite がサーバーにロードされている必要があります。
ログインページ変更
管理画面のログインページを、デフォルトの/wp-login.php から別のURL に変更します。「変更後のログインページ名」にデフォルトのページ名が入っていますが、これは自由に設定することができます。ログインページ変更機能をONにしたら、「変更後のログインページ名」に記載されたURL からログインを行うようにします。
また、こちらも「管理ページアクセス制限」同様、mod_rewrite がサーバーにロードされている必要があります。
画像認証の追加
管理画面などのログイン時に「画像認証」を追加します。画像認証を追加できる場所(ページ)は、「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」の4ケ所になります。
ログインページページに画像認証を追加すると、以下のようになります。
ログイン詳細エラーメッセージの無効化
ログイン失敗時に表示されるエラーメッセージを変更できます。 どの入力項目が間違っていたのか判別できないよう、ユーザー名、パスワード、画像認証のどれを間違えても、全て同じエラーメッセージを表示します。
ログインロック
ログイン失敗を繰り返す接続元を、一定期間ロックできます。ログインロックページで「期間」「回数」「ロック時間」を設定します。
ログインアラート
WordPress へのログイン時に、管理者などにメールで通知する機能です。不正なログインを察知することができますので、是非ともONにしていきたい機能です。
メールのメッセージは、デフォルトではこのようになっていますが、
%DATE% %TIME%に%USERNAME%がログインしました。 == ログイン情報 == IPアドレス:%IPADDRESS% リファラー:%REFERER% ユーザーエージェント:%USERAGENT% -- SiteGuard WP Plugin以下の変数を使用して、自由にメッセージを変更することができます。
サイト名:%SITENAME%
ユーザ名:%USERNAME%
日付:%DATE%、時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%
ユーザ名:%USERNAME%
日付:%DATE%、時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%
フェールワンス
正しいアカウントでログインをしても、ログインを一回失敗するという機能です。5秒以降、60秒以内に正しいアカウントで再度ログインすると成功します。
ピンバック無効化
ピンバックの悪用を防ぐ機能です。ピンバックとは、ブログ記事内にどこかのサイトのURL を掲載すると、そのサイトにリンクが貼られたことを自動で通知する機能です。ピンバック機能を悪用したDDoS攻撃の報告もありますので、ピンバック機能が不要な場合はON のままにしておいた方が良いです。
更新通知
WordPressのコア(本体)、プラグイン、テーマファイルの更新が必要になった際に、管理者にメールで通知する機能です。 WAFチューニングサポート
WAF(ウェブ・アプリケーション・ファイアウォール)の除外ルールを作成し、誤検知を防止する機能です。「この機能を使用するには、WAF (SiteGuard Lite)が、サーバーにインストールされている必要があります。」とのことなので、SiteGuard Lite を利用していない場合は特に設定の必要はないかと思います。(当ブログではサーバーのWAFが有効になっているため、このチューニングサポート機能は利用しておりません。)
ログイン履歴
SiteGuard WP Plugin のダッシュボードページ下部で「ログイン履歴」を確認することできます。 ログイン結果として「成功」「失敗」が表示され、ログイン試行時のログイン名やIPアドレスも表示されます。
スポンサード
このカテゴリとの関連記事
[WP]YARPP の関連記事でTypes のカスタム投稿も対象にする方法
[WP]do_shortcode を使ってEmbed PDF のショートコードを実行する方法
[WP]投稿記事でPHP を実行できるWordPressプラグイン「runPHP」
[WP]投稿記事でPHPを実行できるWordPressプラグイン「Exec-PHP」
[WP]Crayon Syntax Highlighterでコードの特定の行を強調して表示する方法
[WP]CDNから画像を読み込ませる「Jetpack Photon」の利用方法
[WP]WordPressのバージョン情報を非表示にできるプラグイン「Secure WordPress」
[WP]投稿や固定ページをCSVでエクスポートできるプラグイン「WP CSV Exporter」
[WP]Tablepress プラグインでテーブルのインポートとエクスポート
多言語翻訳用のWordPressプラグイン「Global Translator」の設定について(後半)
[WP]Types でカスタムフィールドにアップした画像のURLを取得する方法
[WP]Gutenbergを無効化するプラグイン「Disable Gutenberg」
[WP]Contact Form 7の返信メールで送信元が「WordPress」になる場合の対処法- [WP]メールフォーム別にContact Form 7の入力内容確認を使い分ける方法
- 多言語翻訳用のWordPressプラグイン「Global Translator」の設定について(前半)
[WP]WordPress テ−マファイルのウィルスチェック用プラグイン「AntiVirus」
[WP]WordPress で改行したい場所を改行できるプラグイン「brBrbr」- [WP]Types プラグインでカスタムフィールドを作成する方法
- [WP]Really Simple CSV Importer のCSVから記事の投稿、削除などを行う方法
- 広告をランダム表示させるためのWordPressプラグイン「WPAds」
コメント