WAF(Web Application Firewall)なでのセキュリティ対策が行われているレンタルサーバーは多いですが、WAFはアプリケーションの前面で作動するセキュリティ。
WordPressのアプリケーション自体は、その中で動作するので、WordPressはセキュリティ対策が全くされない状態で使っている方も多いのではないでしょうか?
今回は、WordPress自体を保護するセキュリティプラグイン「SiteGuard WP Plugin」をご紹介いたします。
SiteGuard WP Plugin とは
日本製のプラグインで、株式会社ジェイピー・セキュアが開発した、WordPress管理画面のセキュリティプラグインです。
SiteGuard WP Plugin の 機能
各機能は管理画面で簡単に作動・非作動させることが出来ます。
順番にみていきます。
管理ページアクセス制限
この機能は、24時間以上アクセスが無い場合に、そのIPアドレスのアクセスを遮断する機能。
こちらは、基本ONにしましょう。
ログインページ変更
WordPressのログインページのURLはデフォルトで「/wp-admin」になっていると思います。
いまWordPressを開いている方は、URLを見てみてください。
そう、変更していなければ、ドメインに「/wp-admin」を付ければ、ログインページにアクセスを試みることが出来てしまいます。
この機能は、そのURLの最後を変更し、アクセス出来なくするものです。
インストールするとデフォルトで、ランダムの数字が四角内に入っていると思います。
これで、URLが「/wp-admin」ではなくなり、簡単にURLが分からなくなります。
画像認証
ログイン時に画像認証が追加されます。
bot対策になります。
ログイン詳細エラーメッセージの無効化
ログインに関するエラーメッセージがすべて同じ内容にし、ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示することで、エラー内容を分からない様にします。
ログインロック
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能。
特に、機械的な攻撃から防御するための機能で、ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。
ログインアラート
不正アクセスに気づきやすくするために、ログイン時に登録メールアドレスに通知が届きます。
フェールワンス
リスト攻撃を受けにくくするための機能。
正しいログイン情報を入力しても、あえて1回だけログインが失敗する様に設定されており、5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
XMLRPC防御
WordPressにはピンバック機能(被リンクされた時に通知がくる機能)がありますが、その機能を悪用して攻撃を受けてしまう可能性があります。
その機能を止めます。
ユーザー名漏えい防御
WordPressのサイトは、「WordPressサイトのURL/?author=数字」にアクセスすると、「WordPressサイトのURL/author/ユーザー名」に自動転送される様になっており、ユーザー名が漏洩するリスクがあります。
こちらをONにすることで、ユーザー名の漏洩を防ぎます。
プラグインが上手く作動しなくなる可能性がありますので、ONにする場合は、除外プラグインを追加します。
更新通知
WorsPress本体、プラグイン、テーマが更新された時に通知が届くようになります。
WAFチューニングサポート
こちらは、JP-Secure製WAF SiteGuard Server Editionが導入されていて、正常なアクセスがWAFによって遮断されてしまう場合に、それを回避するルールを作成することができます。
導入されていなければ、無視して構いません。
まとめ
SiteGuard WP Pluginを設定すれば、WordPressのセキュリティ対策は一通り完了です。
レンタルサーバーにも、各種セキュリティ機能があると思いますので、組み合わせて安全なサイトを作りましょう。
最後まで読んで頂きありがとうございました。
コメント