SiteGuard WP Pluginとは
SiteGuard WP Pluginは、WordPressの管理/ログインページに対する不正アクセス・コメントスパム等を以下の設定項目により専門的な知識がなくても簡単な操作でセキュリティを向上させることができmixhostでWordPressでサイトを運営されている場合、セキュリティ対策としてSiteGuard WP Pluginを導入することをおすすめします。
| 名称 | 概要 | デフォルトの有効【 】/無効【 】
※プラグイン有効化の度にリセット |
| ダッシュボード | このページから主な機能の有効【】/無効【】の
状態を確認できます。 |
|
|---|---|---|
| 管理ページアクセス制限 | ログインしていない接続元から管理ページ(https://ドメイン名/wp-admin/以降)への不正アクセスを防止します。 | 無効【】 |
| ログインページ変更【注意】 | ログインページのアドレスを変更することで
不正ログインを防止します。 ※ログインページが変更される為、プラグインの有効化の際にアドレスの確認には注意が必要です。 |
有効【】 |
| 画像認証 | ログイン/パスワード確認/ユーザー登録ページ・コメント投稿に画像認証を追加します。 | 有効【】 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージに変更します。 | 有効【】 |
| ログインロック | ログインの失敗が指定期間中に指定回数あった接続元を
指定時間ロックします。 |
有効【】 |
| ログインアラート | ログイン発生時に、ログインユーザーに対しメールで
通知します。 |
有効【】 |
| フェールワンス | 正しいログインを行っても、ログインを一回だけ失敗させ
一定時間以内に再度ログインを行うことでパスワードリスト攻撃を受けるリスクを軽減します。 |
無効【】 |
| XMLRPC防御 | XMLRPC(外部からWordPress操作)機能の悪用を防止します。 | 有効【】 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 | 有効【】 |
| WAFチューニングサポート | WAF (SiteGuard Lite)導入時の誤検知防止の為の除外ルールを作成します。 | 無効【】 |
| 詳細設定 | IPアドレスの取得方法を設定します。 | |
| ログイン履歴 | ログインの履歴が参照できます。 |
導入方法
検索~インストールまで
導入するサイトのダッシュボードから「プラグイン→新規追加」と移動し【SiteGuard WP Plugin】と検索し検索結果から【今すぐインストール】をクリックしインストールしましょう。
インストール後~有効化完了
ダッシュボードから「プラグイン→インストール済みプラグイン」へ移動し【SiteGuard WP Plugin】を有効化をしましょう。
設定項目
管理ページアクセス制限
管理ページアクセス制限は管理ページ(https://ドメイン名/wp-admin/以降)に対しての不正アクセスを防止する機能で管理ページへログインした接続元のIPアドレスを24時間の間だけ記録し管理ページ(https://ドメイン名/wp-admin/以降)へのアクセスを許可します。
また、ログインをしていない接続元IPアドレスからのアクセスは404(Not Found)エラーとし不要なログインを防止します。
管理ページアクセス制限による機能を除外するURL(/wp-admin/以降)を指定することができます。
ログインページ変更【注意】
ログインページ変更は管理ページ(デフォルト:https://ドメイン名/wp-admin/)をプラグインが有効化された際に「自動的に管理ページのURL」を【https://ドメイン名/login_*****】に変更します。
変更後のログインページ名
管理ページ(デフォルト:https://ドメイン名/wp-admin/)からドメイン名以降の部分を任意に設定します。
〇変更例
【https://ドメイン名/wp-admin/】→【https://ドメイン名/login_*****/】
(login_***** : *は乱数によりデフォルトで設定されます。)
オプション
【管理者ページからログインページへリダイレクトしない】にチェックを入れると元々のURL(https://ドメイン名/wp-admin/)からログインページへ
リダイレクト(自動転送する仕組み)しなくなり変更されたURLを知る人のみ管理ページへアクセスできます。
※注意点
設定の有効化時に管理者のメールアドレスに対し変更通知メールが送信されます、お気に入り登録などに設定しているURLの変更とメモを忘れずに行いましょう。
mixhostの【cPanel】へログインし【ドメイン】から対象のドメインの「ドキュメント ルート」をクリックし【ファイルマネージャー】から【.htaccess】ファイルを右クリック→Editをクリックし以下のサンプルにある文字列内の【login_*****】部分を【https://ドメイン名/】の後に追加して変更されたページに移動できるか確認しましょう。
※サンプル
| RewriteRule ^login_*****(.*)$ wp-login.php$1 [L] |
画像認証
画像認証は、ログイン/パスワード確認/ユーザー登録ページ・コメント投稿対し画像に表示された文字列を入力要求する画像認証を追加することで総当たり攻撃やリスト型攻撃などを防止できます。
ログイン時に要求される4文字分の画像認証方法を【ひらがな】、【英数字】、【無効】からページ毎に選択できます。
ひらがな
英数字
ログイン詳細エラーメッセージの無効化
ログイン詳細エラーメッセージの無効化は、ログインに必要な入力項目(ユーザー名・パスワード・画像認証)に対するエラーメッセージを全て共通のメッセージにすることで不正アクセスのヒントなる情報を少なくし不正アクセスを防止することができます。
ログインロック
ログインロックは、短時間で繰り返し行われる機械的な不正アクセス(総当たり攻撃やリスト攻撃)に対する防御機能で、指定時間内にログイン失敗回数が一定以上に達した際に接続元IPアドレスを指定時間ブロックします。
ログインアラート
ログインアラートは、不正アクセスに対する補助的な機能で、サイトに対しログインされる度に管理者のみ若しくはログインユーザーに対しログイン通知メールを送信します。
| 名称 | 変数 |
| サイト名 | %SITENAME% |
| ユーザ名 | %USERNAME% |
| 日付 | %DATE% |
| 時刻 | %TIME% |
| IPアドレス | %IPADDRESS% |
| ユーザーエージェント | %USERAGENT% |
| リファラー | %REFERER% |
受信者
フェールワンス
フェールワンスは、正しくログイン情報を入力しても1回目はログインが失敗し5秒以降から60秒以内に再度、正しくログイン情報を入力することでログインできリスト攻撃を防止します。
XMLRPC防御
XMLRPC防御は、ピンバック機能(リンク先のサイト管理者に自動通知する機能)かXMLRPC機能(外部からアプリやプラグイン等を通してWordPressの変更する機能)を無効化し不正アクセスを防止します。
タイプ
無効化する対象をピンバック機能(リンク先のサイト管理者に自動通知する機能)かXMLRPC機能(外部からアプリやプラグイン等を通してWordPressの変更する機能)から選択できXMLRPC機能を使用したアプリやプラグインを使用している場合は、こちらを無効化しないようにしましょう。
更新通知
更新通知は、24時間毎にWordPress・プラグイン・テーマが最新であるか確認し管理者にメールで更新通知をします。
WAFチューニングサポート
WAFチューニングサポートは、WebサーバにWAF(Web Application FireWall:SiteGuard Lite)を導入している場合にWordPress内での誤検出(正常時、403エラーが発生する等)を回避するためのルールを作成します。
詳細設定
詳細設定では、クライアントIPアドレスの取得方法を変更する項目でHTTPプロキシサーバまたは負荷分散装置(ロードバランサ)がありリモートアドレスでクライアントの接続元IPアドレスが特定できない場合に、「X-Forwarded-For:1~3」のIPアドレス取得方法を変更します。
ログイン履歴
ログイン履歴では、ログイン状況を日時・結果・ログイン名・IPアドレス・タイプの項目で表示し、最大10,000件まで履歴を参照することができます。
