WordPressのセキュリティを強化するプラグイン、siteguard wp pluginの「ログインできない」トラブルに巻き込まれない使い方、設定方法をご説明します。
- siteguard wp pluginの使い方を知りたい
- WordPressのセキュリティ対策って何をするの?
- 最近調子がおかしくて…ハッキングされたかも?
この記事を読めば、なぜWordpressのセキュリティ対策にsiteguard wp pluginが必要なのかが分かります。
実際、siteguard wp pluginは多くのブロガーが使って、高いセキュリティ効果を発揮しています。
この記事では、前半ではsiteguard wp pluginについての説明と使い方、後半ではsiteguard wp plugin以外のWordPressに必要なセキュリティ対策をお伝えします。
この記事を書いた人
水沢 ちえ
- 在宅で月6桁収入
- ブロガー歴3年
- 経験をもとに成功への最短路を発信中!
- 国立大学院 工学修士で情報分析が得意
WordPressのセキュリティ対策を万全にして、読者から信頼されるブログを作りましょう!
はじめに
他の記事から飛んできて、siteguard wp pluginの設定方法を知りたい人はこちらから進めてください。
siteguard wp pluginとは
siteguard wp pluginはWordpressにインストールすることで簡単に使える、無料のセキュリティプラグインです。
- WordPress専用の無料セキュリティプラグイン
- ログインページ・管理ページの保護に強い
- シンプルな設計で初心者でも扱いやすい
- 日本語に対応している
ハッカーは管理画面へ不正ログインして様々なトラブル引き起こします。
そこで、siteguard wp pluginの機能でハッカーを「ログインさせない」ことによってサイトを守ります。
siteguard wp pluginは必要?
結論から申し上げると、「siteguard wp plugin」はWordpress運営上必須のプラグインです。
なぜなら、WordPressは全世界の43%ウェブサイトで使われていて、多くのハッカーの標的にされやすい状況だからです。。
WordPress本体、テーマ、プラグイン、様々なツールを使ってハッカーからサイトを守る必要があります。
繰り返しになりますが、siteguard wp pluginはWordPress管理画面への不正ログインを防いでくれる必須のプラグインです!
管理画面へ不正ログインされると、
・あなたやユーザーの個人情報が抜かれる
・不適切なサイトへのリンクを張られる
・ウィルスを組み込まれる
・サイバー攻撃の足掛かりにされる
など、サイトの信用を大きく失うことになりかねません。
おすすめプラグイン4つ
セキュリティ対策が必要なことは理解できたけど、他に良いプラグインがあるのでは?と思ったあなたへ
プラグインでWordpressセキュリティ対策を実施するなら、以下のプラグインが有名どころで機能的にもおススメです。
個人ブログであれば上の2つを導入すれば十分ですよ。
| プラグイン名 | 特徴 |
| SiteGuard WP Plugin (本記事で解説中) | プラグインを有効化するだけでも基本的なセキュリティ対策ができる。 (本記事では設定をデフォルトから変更して、セキュリティをより強力にする方法を解説しています) |
| Google Authenticator (初心者向け) | WordPress管理画面へのアクセスを2段階認証にできる。 通常のIDとパスワードの入力に加え、このプラグインで2段認証を追加して不正ログインを防ぎます。 siteguard wp pluginと同時に導入することで、相乗効果が得られます。 |
| iThemes Security | 上級者受けの細かなセキュリティ対策ができるプラグイン |
| All In One WP Security & Firewall | 基本のセキュリティ対策+「ファイアウォール」を導入できる。 |
siteguard wp pluginの設定と使い方
- インストールして有効化
- サイトURLの確認(重要)
- 初期設定を変更してセキュリティを強化
他の記事から飛んできて、「サイトURLの確認(重要)」までできている人はこちらの「初期設定を変更してセキュリティを強化」から進めてください
インストール~有効化
WordPress管理画面 「プラグイン」
└「新規追加プラグインを追加」クリック
「プラグインを追加」ページの「検索窓」に『SiteGuard WP Plugin』を入力
「今すぐインストール」でインストール完了後、「有効化」して完了です
サイトURLの確認(重要)
siteguard wp pluginを有効化したら、必ず、すぐにWordPressログインページのURLを確認してください。
なぜなら、SiteGuardは有効化するだけで、基本機能によりセキュリティが強化され自動的にWordpressのログインページのURLを変更するからです
例:「wp-login.php」⇒「login_5桁の乱数」
自分のサイトに入れなくなって困っている初心者さんが続出しています!
確認方法は、『WordPress: ログインページURLが変更されました』というメールが管理者に届くので、変更されたURLを確認してください。
メールを見つけられなかったときは、
WordPress管理画面 「SiteGuard」
└「ログインページ変更」クリック
「ログインページ変更」ページに記載されています。
ログインするときにブックマーク機能を使っている人は、忘れず変更してくださいね!
初期設定を変更してセキュリティを強化
siteguard wp pluginはインストールするだけでセキュリティ強化が図れます。
ここからは、デフォルトの設定を変更することで、より強固なセキュリティを確立する方法をお伝えします。
ご自身の利用環境に応じてカスタマイズしてくださいね。
WordPress管理画面「SiteGuard」から設定の変更ができます。
図の赤枠「管理ページアクセス制限」から順に解説します
管理ページアクセス制限
デフォルト:OFF → そのままでもOK
「WordPressを始めたばかり」「IPアドレスの意味がわからない」「FTPでサーバーの中を触れない」という人はONにすると最悪ログインできなくなるので、自信のない人はOFFのままが良いと思います。
私は「OFF」にしていますよ!
この機能では、記録のない接続元IPアドレスから管理ページ(/wp-admin/)にアクセスしたときに404エラーページを表示して不正ログインを防ぎます。
例えば、自宅で作業していて、カフェに作業場所を変えたときは、「管理画面のアクセス制限」によってアクセスできなくなります。そんな時はWordPressログイン画面からログインしなおせば、再度ログインできます。
ログインページ変更
デフォルト:ON
詳細を変更してでセキュリティを強化します。
→ 「管理者ページからログインページへリダイレクトしない」にチェック
→「変更を保存」
私もチェックを入れてます!
この機能は、管理ページのURLを変更することで、不正ログインを防ぎます。
通常「あなたのサイトアドレス+(/wp-admin/)」
この機能ONにする
↓
「あなたのサイトアドレス+(login_5桁の乱数)」
に変更される
↓
第三者は、あなたのサイト管理ページURLが分からなくなり不正ログインを防げる。
変更時の初期値は、(login_5桁の乱数)ですが、任意の文字列に変更できます。詳しくはこちらの公式ページを確認してください。
ここまでが、デフォルトの設定でできることです。
しかし、危険なことに、デフォルトの状態では「(あなたのサイトアドレス)+(/wp-admin/)」で検索をかけると、管理ページのログイン画面に自動的にリダイレクトしてしまいます。
そこで、「管理者ページからログインページへリダイレクトしない」にチェックを入れて、ログイン画面に自動的にリダイレクトしないように設定を変更します。
画像認証
デフォルト:ON → そのまま
ログインページ、コメントページ、パスワード確認ページ、ユーザー登録ページに、「ひらがな」または「英数字」4桁による画像認証を追加します。
ログインユーザー名とパスワードの組み合わせを機械的に探って不正ログインしようとする攻撃を防ぎます。
デフォルトでは「ひらがな」での画像認証が設定されています。
海外の攻撃者に攻撃させづらくする効果があるのでデフォルトのひらがなが最適です。
変更したい場合はこちらの公式ページを参考にしてください。
ログイン詳細エラーメッセージの無効化
デフォルト:ON → そのまま
siteguard wp pluginが有効化されていないと、ログインに失敗した時「ユーザー名、パスワード、画像認証」のどれが間違っているのかメッセージが表示されます。
そこで、この機能で「詳細エラーメッセージを無効化」して、ログイン失敗時にすべて同じエラーメッセージにすることで、何が間違っているのか分からないようにすることができます。
ログインロック
デフォルト:ON → 詳細設定を変更→「変更保存」
ログイン失敗を繰り返す接続元を一定期間ロックする機能です
この機能は、下記の攻撃に対して脆弱な部分があります。
・多くの接続元を使用している攻撃
・ロック期間を考慮されたゆっくりとした攻撃
そこで、デフォルトの設定を変更して脆弱性の対策をします。
・ロックまでの試行回数を少なくする
・ロック時間を長くする
WordPress管理画面「siteguard wp plugin」
└「ログインロック」
ログインアラート
デフォルト:ON → そのまま
ログインする度に、ユーザーに自動で通知メールが送られる機能です。
WordPress管理画面「siteguard wp plugin」
└「ログイン履歴」
履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます
怪しい履歴がないか確認しましょう。
フェールワンス
デフォルト:OFF → 必要に応じてON
ログインが成功する場合でも、一度失敗させて次の組み合わせの試行に進ませることで、攻撃をかわす機能です。
例えば、漏洩したログイン情報を利用して、ユーザー名とパスワードの組み合わせリストを作成し、ログインを試行するサイバー攻撃に対して効果があります。
しかし、ハッカーもこの機能を知っているので、機械的に2回入力する場合があります。
そのため、ログイン失敗後5秒経過後、かつ60秒以内に正しい組み合わせを入力することでログインできるように条件を厳しくしています。
XMLRPC防御
デフォルト:ON → そのまま(「ピンバック無効化」)
XML-RPC(通信の決まり)を悪用したブルートフォース攻撃・DDoS攻撃から防御する機能です。
└ブルートフォース攻撃
パスワード等のパターンを総当たりで入力し、不正アクセスを試みる攻撃
└DDos攻撃
複数の機器を利用してサイトに膨大な負荷をかける攻撃
- ピンバック無効化(デフォルト):リンク元がリンク先に通知する機能を無効化
- XMLRPC防御:XML-RPC全体を無効化
デフォルトでは「ピンバック無効化」です。
「XMLRPC防御」に変更すると、XML-RPCを使用しているプラグイン・アプリが使用できなくなります。
私は「XML Sitemap & Google News」(プラグイン)が使えなくなるので、デフォルトの「ピンバック無効化」です。
ユーザー名漏洩防御
デフォルト:OFF → 必要に応じてON
ユーザー名を表示しないようにする設定です。
なぜなら、「ユーザー名」はWordpressのログインIDと同じなので、ハッカーがパスワードのみ推測すれば不正ログインできてしまうからです。
ユーザー名 = WordpressのログインID
安全のためユーザー名は伏せておきましょう!
お使いのテーマによっては
「サイトURL/?author=0」で自分のサイトにアクセスしたとき、すでにユーザーIDが表示されないものがあります。
その場合は「OFF」のままで問題ありません。
私は「SWELL」を使っていますが、OFFのままでもすでに表示されません。
オプションで「REST API無効化」することもできます。
REST APIの無効化後に動作しないプラグインがあれば、除外プラグインのリストに追加します
よくわからない人はデフォルトのままが良いと思います。
更新通知機能の特徴
デフォルト:ON → 必要に応じてOFF
WordPress、プラグイン、テーマについて、更新情報がある場合に、お知らせメールが届く機能。
初期状態ではONになっていますが、私は、OFFにしています。
なぜなら、必要なプラグインは自動更新にし、その他のプラグインやテーマ、Wordpressの更新はログイン時に確認しているからです。
(タイムリーに更新したいという方はONのままでが良いと思います)
プラグインの自動更新について知りたい方は下の記事を参考にしてください。
記事内の該当箇所へジャンプします
WAFチューニングサポート
デフォルト:OFF → そのまま
WAFチューニングサポートとは、WAF(Web Application FireWall)の除外設定をする機能。初期状態のまま何も設定しなくてOKです。
WordPressのセキュリティ対策6つ
- WordPress、テーマ、プラグインを最新バージョンにする
- 推測されにくいユーザー名・パスワードにする
- プラグイン・テーマの導入と削除
- セキュリティ対策プラグインの導入(本記事の内容)
- 定期的なバックアップの取得
- サイトの常時SSL化
WordPressのセキュリティ対策は、Wordpress本体、導入しているテーマ、プラグイン、これらを組み合わせて行うことでより強固なセキュリティを構築することができます。
足りない部分を確認して、あなたのセキュリティ対策に役立ててください。
最新バージョンにする
WordPress、テーマ、プラグインは、最新バージョン(特にセキュリティ関連)が公開されたら、すぐにアップデートして攻撃されるリスクを軽減しましょう。
ハッカー側で新たな脆弱性が発見され攻撃を受けたら、すぐに対抗措置が取られます。
それが、WordPress・テーマ・プラグインのバージョンアップです。
よって、バージョンアップを適用すれば、新たな攻撃による被害を防ぐことができます。
逆に、古いバージョンを使い続けることは、セキュリティの脆弱性を公開しているようなもので危険です。
繰り返しになりますが、Wordpress・テーマ・プラグインは常に最新バージョンで使いましょう!
アップデートすると、WordPressに不具合やエラーが生じる可能性があります。アップデート前には下記事を参考に手動バックアップを取ることをおススメします。
記事内の該当箇所へのジャンプはこちら
ユーザー名・パスワードの最適化
ハッキングされる原因の多くは「推測されやすいユーザーIDやパスワードを使用している」ことが挙げられます。
そこで、
・複雑で忘れにくいパスワードの作り方
・ユーザーID(ユーザー名)を非表示にする方法
をご紹介します。
パスワード
「パスワード」は、文字列の長さが強度につながるため、できるだけ長く、英数字を交えた複雑なものにしましょう。
また、同じパスワードの使いまわしはしません。
使いまわしを回避する複雑なパスワードの作り方をご紹介します。
好きなセンテンスを選び、ローマ字に変換する
例「あめあがりのそら」→「ameagarinosora」
方法:大文字にする、記号、英数字にする
例:a→@、o→0(数字)、子音→大文字
「ameagarinosora」→「@Me@G@RiN0S0R@」
例:Google→GE、Instagram→IMなど
コアパスワードの前か後ろに識別因子をつけて完成です。
例:@Me@G@RiN0S0R@GE
(出典:情報処理推進機構)
コアパスワードと変換ルールは自分で記憶しておいて、識別子は紙か電子で記録しましょう。
- 生年月日などの記念日
- 名前をローマ字変換したもの
- 数字を羅列しただけのもの
- 同じパスワードの使いまわし
これらの推察されやすいパスワードは避けて、複雑で強力なパスワードでサイトを守りましょう
ユーザー名
「ユーザー名」はWordpressのログインIDと同じなので、第三者に知られないように設定します。
ユーザー名 = WordpressのログインID
ユーザー名(ログインID)が第三者に知られる状態だと、ハッカーはパスワードを破ればいいだけなのでとても危険な状態です。
- デフォルトのユーザー名「admin]を他のユーザー名に変更
- サイトに表示される名前を「ユーザー名からニックネーム」に変更
① デフォルトのユーザー名「admin]を他のユーザー名に変更
管理画面のユーザーに「admin」が存在している場合は、可能であれば削除しておきましょう。
なぜなら、WordPressのインストール時にユーザー名は「admin」と初期設定されることが多く、ハッカーも間違いなく「admin」での不正ログインを試みるからです。
WordPress管理画面「ユーザー」
└「新規ユーザーを追加」
「新規ユーザーを追加」より、新しい管理者ユーザーを登録
一旦、Wordpressをログアウトし、Step1で作成した新しいユーザーでログイン
WordPress管理画面「ユーザー」
└「ユーザー一覧」
「ユーザー」ページより、「admin」を選択して「削除」
② サイト上に表示される名前を「ニックネーム」に変更
サイト上に表示される名前を全て「ニックネーム」に変更します。
なぜなら、せっかくユーザ名を「admin」から変更しても、サイトに「ユーザー名」を表示していては、ハッカーにログインIDを知られるからです。
WordPress管理画面「ユーザー」
└「プロフィール」
「プロフィール」ページで、「ニックネーム(必須)」と「ブログ上の表示名」を設定
最後に「変更を保存」をクリックして完了
プラグイン・テーマの導入と削除
プラグインとテーマは信頼できるものを使用しましょう。
同時に、使っていない、または更新していないプラグインやテーマは削除しましょう。
前述ですが、プラグインやテーマの脆弱性に付け込んでWordpressが攻撃されることがあります。
そこで、安心して使えるプラグインやテーマを選ぶことは重要です。
- 開発元は法人
- 低評価のレビューが少ない
- 最新のバージョンアップが半年以内
- インストール数が多い(プラグインなら1万以上)
上記をチェックして信頼のおけるものを選びましょう。
このサイトでは、実績、更新頻度など、安心して使えるプラグインをご紹介しています。また、テーマに関しては「SWELL」がおススメです。
繰り返しになりますが、サイトの表示スピードの遅延、ハッカーの攻撃ターゲットになるなど、メリットはありません、使用していないプラグインは削除しましょう。
おすすめのWordpressテーマ「SWELL」の詳しい記事はこちらをチェック
セキュリティプラグインの導入
siteguard wp pluginをはじめとするセキュリティ対策プラグインを導入しましょう。
- siteguard wp plugin
(本記事で紹介) - Google Authenticator
(管理画面へのログインに二段階認証を追加できるプラグイン)
初心者は上記の2つを導入すれば十分です。
中級者以上の人には「All In One WP Security & Firewall」でファイアーウォールの導入、上級者には「iThemes Security」で細かなセキュリティ対策をおススメします。
定期的なバックアップ
サイバー攻撃を受けても、バックアップデータがあればサイトを復旧することができます。
セキュリティの強化と合わせて、バックアップを取りましょう。
バックアップについてはこちらの記事で紹介しています。
サイトの常時SSL化
SSL化とはサイトの通信を暗号化させることです。
具体的にはサイトアドレスを「http」から「https」に変更します。
ご自分サイトが「https」で始まっていない場合は、こちらの記事を参考に設定してください。
記事内の該当箇所へのジャンプはこちら
セキュリティ診断
さまざまなセキュリティ対策についてお伝えしましたが「これで大丈夫?」という不安は残っていませんか?
また、これからサイトを運用する中で「もしかしたらハッキングされかかも?」と違和感を感じることがあるかもしれません。
そんな時は「セキュリティ診断」で現状を正しく理解して、適切な対策を行いましょう。
URLを入力するだけで無料で結果がでるので、気楽に診断できますよ!
サイトを使った方法
Webサイトに脆弱性が含まれるかどうかをチェックしてくれるサイトです。
検索窓「Your WordPress URL*」に診断したいサイトのURLを入力して「START SCAN」をクリックするとチェックできます。
プラグインを使った方法
①ワードプレス:マルウェアスキャン&セキュリティープラグイン
改ざんを検知するだけではなく、そのコードがハッカーによる不正なコードの埋め込みかどうかまで判定できるプラグイン。
②Wordfence Security
不正なURLやスパムのほか脆弱性への対応状況などをチェックするマルウェアスキャナー機能を提供するプラグイン
まとめ
WordPress運営において必要なセキュリティ対策を、siteguard wp pluginを使った方法を中心にお伝えしました。
WordPressの準備が整ったらいよいよ記事を作成しましょう!
詳しい記事の作成方法もご紹介しています。
ぜひ参考にされてくださいね。