SiteGuardでWordPressのセキュリティ強化

セキュリティ対策について WordPress

これは自分自身へのmemoとして記録したものですが、
同じくWordPress初心者の方に参考になればという思いで記事としたものです。
この記事は5分で読めます。

SiteGuard WP Pluginというセキュリティ強化のプラグインをいれることで
あなたのWordPressの基本的なセキュリティ対策につながります。

そう!実際に攻撃を受ける確率は交通事故よりも低いかもしれません、
でも多くの時間と経験を投下して大切に育てたブログが
何らかの攻撃によって
損害をこうむる確率がゼロとは言えません。

実際にWordPressをハッキングする方法を紹介する記事を書いている人もいます。

わるい!

簡単でもセキュリティ対策をしておくことは精神衛生上にもよいと言えるでしょう。

さて、

今回紹介するプラグインは
いくつかあるセキュリティ対策向けプラグインのなかでも、
SiteGuardは管理ページとログインに関する攻撃からの防御に特化したセキュリティプラグインである。

なぜセキュリティ対策が必要か?

3つの理由があげられます。

  • WordPressは利用者が多くオープンソースのためハッカーの標的になりやすい
  • セキュリティ対策をしておけば精神面でも安心
  • ブログのPV数が増えるほど攻撃リスクも高くなりやすい

 

世界のウェブサイトの数は約3億。そのうちWordPressサイトは約8,700万くらい。日本語ロケールのWordPressサイトは約500万と言われている。

SiteGuardをインストール&有効化するとどうなるか?

WardPressログイン画面
1:WordPressのログインページのURLが自動的に変更されます。

新しいログインURLをコピーしておきましょう。
オンオフあり、URLも自分で書き換えられる。「ブルートフォース攻撃」や「リスト攻撃」などの不正ログイン攻撃の確率を下げてくれます。
2:有効化した時点であらかじめSiteGuardによりいくつかのことが設定されています
SITEGUARDの設定状況一覧
SiteGuardの設定状況一覧がこんな感じで確認できます。
緑が予め設定された項目。
では一つづつ確認していきましょう
・画像認証を追加する
不正ログイン攻撃、コメントスパムを受けにくくしてくれます。海外に向けたサイトでない場合「ひらがな」を設定しておくとよいでしょう。
・ログイン詳細エラーメッセージを無効化する
ユーザー名を調査する攻撃をうけにくくしてくれます。通常はログインに失敗すると失敗理由が詳しく表示されるが、それを逆利用してユーザー名を推測する。という攻撃がある。この機能を有効にすることでログインに関するエラーメッセージがすべて同じ内容になり、ユーザー名を調査するヒントを与えないようにできる。
・ログインに失敗したユーザーをロックする
不正ログインをこころみる機械的な攻撃を防ぎやすくしてくれます。同じIPからのアクセスで指定期間内に指定回数(ここは設定できます)ログインに失敗した場合。その接続元IPアドレスがロックされるという機能です。
・ログインがあったことをメールで通知する
これはこの文字の通り。自分がログインしていないときに、ログインがあった場合にメールで気づくことができます。
・ピンバックを無効化する
ピンバックによる不正な攻撃を防ぐための機能。記事にサイトのURLを書くとWardPresが地頭的にリンクが張られたことを該当のサイトへ通知する機能。ピンバックを悪用することで第三者へのサイトに大量の負荷をかけてサーバーをダウンさせるという攻撃があり、ピンバック機能を無効化にすることで攻撃される機会を大幅に減らしてくれます
・WordPress,プラグイン,テーマの更新を通知
メールにて更新が必要になったときに管理者宛にメールが届くシステムです。
ログインや更新のタイミングをメール通知してくれるのはとても親切ですが
更新の通知は日々WordPressにログインする僕にとっては余計だったので解除しました。

まとめ

導入から設定まで簡単にできてしまうSiteGuard。

  • WordPressは利用者が多くオープンソースのためハッカーの標的になりやすい
  • セキュリティ対策をしておけば精神面でも安心
  • ブログのPV数が増えるほど攻撃リスクも高くなりやすい

などのためにも30分で終了するSiteGuardがオススメです。