WordPressへの不正ログインセキュリティー対策の設定方法とは?

WordPressへの不正ログインセキュリティー対策の設定方法とは?_1 ブログ運用
スポンサーリンク

WordPressへの記事投稿を優先して行っていると、ついつい、WordPressのセキュリティ対策がおろそかになっていました。

WordPressへのセキュリティ対策で必要なのは、おおまかに

  • インストール済みプラグインやWordPressプログラムの脆弱性対策
  • データの改ざん、乗っ取り、流出対策
  • 不正アクセス対策
  • スパムコメント対策

です。

その中で今回は、自分が運用しているWordPressへの不正アクセス対策を初心者でも簡単に行うことができるプラグイン「SiteGuard WP Plugin」の設定方法を紹介します。

WordPressへの不正アクセス対策プラグイン「SiteGuard WP Plugin」ができること

「SiteGuard WP Plugin」を導入することで不正サクセス対策は完璧!
という訳ではありませんので、留意願います。

※自宅の扉、窓の鍵を施錠したから絶対に泥棒に入られることはない!
ということはありませんよね!?

「SiteGuard WP Plugin」導入は、自宅に例えると泥棒に入られないよう自宅の扉、窓の鍵を施錠し、鍵を長時間触ったりこじ開けたりする人をマークするようなイメージです。

機能機能概要期待できる効果
管理ページアクセス制限ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。ログインした端末の接続元以外からのアクセスに対し、管理ディレクトリ(/wp-admin/)配下のファイル編集を拒否することにより、データ改ざん、流出しにくくします。
ログインページ変更ログインページ名を変更します。WordPressインストール時に初期設定されるログインページのURLを任意のURLに変更することで、ブルートフォース攻撃やパスワードリスト攻撃等、不正ログインの試行を受けにくくします。
画像認証ログインページ、コメント投稿に画像認証を追加します。人が画像を目で見て表示されている文字列を入力するため、不正ソフトウェアによるブルートフォース攻撃、パスワードリスト攻撃等、不正ログインの試行を受けにくくします。
ログイン詳細エラーメッセージの無効化ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。ユーザー名、パスワード、画像認証のいずれかの入力誤りをエラーメッセージより推測させないことにより、ユーザー名やパスワードの推測をさせにくくし、不正ログインの施行を受けにくくします。
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。不正ソフトウェア等による複数回ログイン失敗した接続元からのアクセスを一定期間禁止することにより、不正ログインの施行を受けにくくします。
ログインアラートログインがあったことを、メールで通知します。心当たりがない不正ログインがあった際の情報をメール通知することにより、不正ログイン検知までの時間短縮が期待されます。
フェールワンス正しい入力を行っても、ログインを一回失敗します。不正アクセス者がどこかで入手した正しいユーザ名、パスワードで不正アクセスされた際、ログインを一度失敗させることで、不正アクセス者に正しいユーザ名、パスワードのどちらかが誤っていると認識させ、不正アクセスを受けにくくします。
XMLRPC防御XMLRPCの悪用を防ぎます。ピンバック機能やXML-RPC(phpで自動投稿やスマホからアプリ使用で投稿で使用可能性有)を無効化することで、ブルートフォース攻撃等、不正ログインやDDoS攻撃の踏み台にされにくくします。
更新通知WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。WordPress、プラグイン、テーマの最新化を維持することで、セキュリティホールに対する不正アクセス者の攻撃を受けにくくします。
WAFチューニングサポートWAF (SiteGuard Lite)の除外ルールを作成します。WebサーバーにJP-Secure製のWAF(SiteGuard Lite)が導入されている場合のみ使用します。
WordPress内での誤検知(正常なアクセスを403エラーと判定する等)を防ぐことでWAFの防御機構を生かすことが期待できます。
詳細設定IPアドレスの取得方法を設定します。
ログイン履歴ログインの履歴が参照できます。定期的にログイン履歴を確認することで、不正ログイン検知までの時間短縮が期待されます。

【WordPressへの不正ログインセキュリティー対策の設定方法の手順書について】

  • 本手順の対象者:WordPressへの不正ログインへのセキュリティ対策を簡単に行いたい人
  • 設定時間目安:10分
  • 手順書作成日:2019年4月9日

【WordPressへの不正ログインセキュリティー対策の設定方法の手順書】

SiteGuard WP Pluginインストール手順

WordPressへログイン後、プラグインメニューより新規追加メニューを押下、検索に「SiteGuard WP Plugin」を入力し、「SiteGuard WP Plugin」の今すぐインストールボタンを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_1

「SiteGuard WP Plugin」インストール後、有効化ボタンを押下します。

※有効化後、自動的にWordPressのログインページURLが変更( 「login_<5桁の乱数>」)となります。
例 変更前:ログインURL https://●●●.com/wp-login.php
  変更後:ログインURL https://●●●.com/login_12345.php

※注意点

ネットワーク接続が不安定な環境で行う場合、有効化を行う前に「ログインページ変更」メニューよりWordPressのログインURLの確認、設定を先に行いましょう。

有効化後、ネットワークが切断された場合、WordPressのログインURLがわからなくなってしまいます

WordPressのログインURL変更後、ログインURLが分からなくなってしまった場合の対処方法は、JP-Secureの公式サイトを確認下さい。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_2

SiteGuardの設定手順

SiteGuardの初期設定確認手順

SiteGuardメニューより、ダッシュボードメニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_3

管理ページアクセス制御設定手順

初期設定の状態を確認(緑色のチェックが有効になっている機能)後、管理ページアクセス制御メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_4

ONボタンを押下後、変更を保存ボタンを押下します。

※WordPressへのアクセスするネットワークの環境が変わらない方は、管理ページアクセス制御を有効にした方が良いでしょう。
※管理ページアクセス制御除外パスを初期設定のままで良いでしょう。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_5

ログインページ変更設定手順

設定が反映されたことをメッセージで確認し、ログインページ変更メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_6

テキストエディタを起動し、変更後のログインURLの文字列をテキストボックスに入力します。

※使用できる文字列は半角英数字、半角アンダーバー、半角ハイフン

WordPressへの不正ログインセキュリティー対策の設定方法とは?_7

ONボタンを押下後、テキストボックスに入力したログイン後のURLの文字列をコピー(Ctr+C)し、変更後のログインページ名のテキストボックスに貼り付け(Ctr+V)します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_8

変更を保存ボタンを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_9

ログインページ変更確認手順

設定が反映されたことをメッセージで確認し、変更後のログインURLをテキストエディタに控えた後、WordPressからログアウトします。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_10

ユーザ名、パスワード、画像認証の文字列を入力後、ログインボタンを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_11

WordPressへログインできたことで、ログインURL変更確認を完了します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_12

画像認証設定手順

SiteGuardメニューより、画像認証メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_13
  • 初期設定の通り、画像認証機能がONになっていることを確認します。

※海外から不正アクセスが多いので画像認証を「ひらがな」にしておきましょう。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_14

ログイン詳細エラーメッセージの無効化設定手順

SiteGuardメニューより、ログイン詳細エラーメッセージの無効化メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_15

初期設定の通り、ログイン詳細エラーメッセージの無効化機能がONになっていることを確認します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_16

ログインロックの設定手順

SiteGuardメニューより、ログインロックの無効化メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_17

初期設定の通り、ログインロック機能がONになっていることを確認します。 設定値は初期設定のままで良いです。

  1. 期間:ログイン失敗の期間
  2. 回数:ログイン失敗の回数
  3. ロック時間:ログイン失敗した接続元IPアドレスからのアクセス拒否の時間
WordPressへの不正ログインセキュリティー対策の設定方法とは?_18

ログインアラート設定手順

SiteGuardメニューより、ログインアラートメニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_19

初期設定の通り、ログインアラート機能がONになっていることを確認します。 設定値は初期設定のままで良いです。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_20

フェールワンス設定手順

SiteGuardメニューより、フェールワンスメニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_21

WordPressのログインユーザ名、パスワードを他でも使いまわしている場合、フェールワンス機能をONにし、変更を保存ボタンを押下します。

※私は、WordPressのログインユーザ名、パスワードを使いまわしていないためフェールワンス機能はOFFにしています。

ログイン時に必ず1回、ログインが失敗することを煩わしいと感じない場合、パスワードを使いまわしていなくても、フェールワンス機能をONにすることで不正アクセスを受けにくくなります。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_22

XMLRPC防御設定手順

SiteGuardメニューより、XMLRPC防御メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_23

初期設定の通り、XMLRPC機能がONになっていることを確認します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_24

※下記のXMLRPC機能(ファイル名:xmlrpc.php)が使われている機能やプラグイン等に制限がかかります。

  1. ピンバック機能
  2. メールでの記事投稿
  3. スマホアプリからの記事投稿
  4. jetpack(記事投稿時にSNSへの自動共有設定等が可能)

私は上記4つを使用していないため、
XMLRPC機能(XMLRPC無効化)をONに設定しています。

WordPressの利便性よりセキュリティ対策の優先順位を高め、XMLRPC機能をONにすることを勧めます。

更新通知設定手順

SiteGuardメニューより、更新通知メニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_25

初期設定の通り、更新通知機能がONになっていることを確認します。

※未使用のプラグインやテーマはアンインストールしている状態が望ましいですが、未使用のままインストールされている場合、常に最新化しておきましょう。

  1. WordPressの更新:有効
  2. プラグインの更新:すべてのプラグイン
  3. テーマの更新:すべてのテーマ
WordPressへの不正ログインセキュリティー対策の設定方法とは?_26

WAFチューニングサポート設定手順

SiteGuardメニューより、WAFチューニングサポートメニューを押下します。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_27

WebサーバーにWAF(SiteGuard Lite)がインストールされている場合、WAFチューニング設定をONにし、攻撃を識別するルールを追加します。追加方法は、JP-Secureの公式サイトを確認下さい。

※私はWebサーバはXSERVER(エックスサーバー)でレンタルしており、WAF(SiteGuard Lite)を使用していないため、WAFチューニング設定はOFFのままです。

WordPressへの不正ログインセキュリティー対策の設定方法とは?_28

WordPressでのブログの始め方の手順はこちらにまとめています。

画像付きの手順なので、初心者でも簡単に作業できます。

コメント