SiteGuard WP Plugin サイトを他者によるログインの脅威から守る

2017年4月21日

サイトに対するブルートフォースアタック(IDとパスワードのランダムな組み合わせで総当りする攻撃)などから守るプラグインです。昨今のWORDPRESSの脆弱性をついた攻撃の他にも、意外と昔からある攻撃にあってしまうという脅威を取り除きましょう。

スポンサーリンク

インストール

「ダッシュボード」→「プラグイン」→「新規追加」とクリックします。画面右上のキーワード検索欄に「SiteGuard WP Plugin」と下図の様に記入すると対象のプラグインが検索結果として出てきます。

「今すぐインストール」ボタンを押してインストールします。

インストールが終わったら「有効化」ボタンをクリックします。

設定

次に設定を行います。「ダッシュボード」→「SiteGuard」→「ダッシュボード」とアクセスします。

アクセスすると下図の様な設定画面が表示されます。

私は、「フェールワンス」と「 WAFチューニングサポート」をオフにしているだけで後は全てチェックを入れて設定しています。

設定を一つづつ見ていきます。

管理ページアクセス制限

ログインしていないユーザーからの管理画面へのアクセスを、IPアドレスを元に接続の可否を決める設定です。ログインせずに管理画面へアクセスすると「404エラー」を返します。

ログインページ変更

WORDPRESSの通常のログインページは「http://ドメイン/wp-login.php」ですが、このURLを変更できます。ログインページ名は「http://ドメイン/login_XXXXX.php」になります。XXXXXは任意の5桁に設定されます(下図)。

URLを変更した後の新URLを忘れることもあると思います。その場合、FTPソフトなどを使って.htaccessファイルを開いてください。そこにある、下記の記述のxxxxxが新しいログインページの数値になります。

RewriteRule login_xxxxx(.*)$ wp-login.php$1 [L]

 

画像認証

これを設定すると下記のようなログイン画面になります。

日本語の画像認証になっていますが、英数字の画像認証にすることもできます。また、ボットでは無い事を証明するための簡単な算数表示もされることがあります。

ログイン詳細エラーメッセージの無効化

ログイン失敗時のエラーメッセージの原因を隠し、常に同じメッセージになるように設定しておけます。

ログインロック

繰り返しログインに失敗したユーザーを一定時間ロックできます。

ログインアラート

管理画面へのログイン通知をしてくれます。これにより、不正なログインにいち早く対応できます。

フェールワンス

いかなる時も、成功していてもログインを失敗させます。これにより、クラッカーがログインに成功していても間違っていると偽装できます。ログインする機会が多いので私はOFFにしています。

XMLRPC防御

ブログにリンクが張られたことを通知するピンバックによる不正な攻撃を防ぐことができます。

更新通知

WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。

WAFチューニングサポート

WAF (SiteGuard Lite)を使用していないためOFFにしています。

以上でSiteGuardの設定は終了です。

 

 

スポンサーリンク