ハッキングによる不正ログイン・個人情報の流用・システム改ざん被害を防ぐプラグイン【SiteGuard WP Plugin】
【SiteGuard WP Plugin】の特長!
このSiteGuard WP Plugin は、WordPressにインストールして設定することで、セキュリティを強化させることが出来るプラグインです!。
ログインページや、管理ページの保護を中心とした日本語対応のプラグインで、主に不正ログイン・個人情報の保護・コメントスパムなどの攻撃を防ぐ効果が有ります。
ブログサイトを運営するうえで、メールやコメントなどのスパムをガードしているだけでは、安全といえません!。
世の中には、ハッキングや不正ログインをして、記事やブログのシステム自体を改ざんしたり、個人情報を入手して流用する連中もいます。 そういった連中に狙われると、素人では太刀打ち出来ません!。
そこで今回セキュリティー強化のプラグインとして、紹介するのが、[SiteGuard WP Plugin:サイトガード・ワードプレス・プラグイン]です。
このプラグインは、ハッキング被害などを防ぐ防御策の1つとして多くの方が利用しています!
ただし導入前に、しっかり把握していないと【WordPressにログイン出来なくなる!】ので、導入前に(注意事項)を確認してから導入を行って下さい!。
プラグインのインストール方法!
【SiteGuard WP Plugin】インストール方法は、Wordpressのダッシュボードから、プラグインをクリックして、プラグイン一覧の右上にある、検索窓に[SiteGuard WP Plugin]と書き込みます。
すると、画面が切り替わり「プラグインは見つかりませんでした」と表示されます。 その横の【ワードプレス プラグインディレクトリでプラグインを検索 】とある、青い文字のリンクをクリックしてください。
セキュリティープラグインの一覧が表示されるので[SiteGuard WP Plugin]の[今すぐインストール]
をクリックして下さい!。
すると、[今すぐインストール]→[インストール中]→[有効化]と表示が変わるので[有効化]になったら、有効化ボタンをクリックして下さい!
有効化と同時に、登録したメールアドレスに[Wordpress:ログインページのURLが変更されました]とメッセージが届きます。
届いたメールのURLをクリックしてログインページに移動して下さい!。
始めは、以下のような状態になっています。
このログイン画面のURLをブックマークしておきましょう!
プラグインがインストールされた事を確認するには、ログインページに、情報を入力して、ワードプレスのダッシュボードにログインし、メニュー一覧にあるプラグインをクリックして下さい!。 プラグイン一覧にSiteGuard WP Pluginがインストールされています。
以上でプラグインのインストールから、有効化までは終了です。
「SiteGuard WP Plugin」の機能一覧
SiteGuard WP Pluginの有効化後にWordpressのダッシュボード一覧に[SiteGuard]の項目が出来ていると思います。
Wordpressのダッシュボードから[SiteGuard]を選択して、ダッシュボードをクリックすると以下のページに移動します。
初期の設定は、上記のようになっています。
「SiteGuard WP Plugin」の機能説明!
このプラグインはワードプレスのログインページのURLを変更するだけで無く、ログインするさいの画像認証機能を追加したり、ログインに失敗したIPアドレスからの入室をガードするなどの設定を追加する事で、セキュリティレベルを上げ、ブルートフォースアタック(総当たり攻撃)などによる不正ログインから守ってくれるプラグインです。
それでは、このプラグインの主な機能と設定方法を簡単に説明をしていきたいと思います。
管理ページアクセス制限
管理ページアクセス制限のON/OFFの切替と、除外パスの設定を行います。
この機能を有効にしたい場合は、ワードプレスのダッシュボードのサイドバーから「SiteGuard」をクリックし、設定状況の「管理画面アクセス制限」をクリックします、次に「管理ページアクセス制限」の設定画面が表示されたら「ON」を選択してクリックし、下に有る[変更を保存]と言う青いボタンをクリックすると、機能設定の変更をする事が出来ます。
また設定する場合は、以下の様なIPアドレスからのログインを、除外パスとして設定することが出来ます。
・css
・images
・admin-ajax.php
・load-styles.php
※管理ページ(wp-admin/)以降のURLが(/index.php)などの場合には、除外パスとして(index.php)を追加してください。
CSSとは、(Cascading Style Sheets:カスケーディング・スタイル・シート)の略で、ウェブページの文字やスタイルを、どのように装飾するかを指定するための言語です。
images:イメージは、画像や画像認証などに使用されているので除外しておきましょう。
admin-ajax.php は、通常のワードプレスログインページのURLのドメインの後に続くアドレスの(/wp-login.php )や管理画面(ダッシュボードページ)のアドレス(ドメイン後の/wp-admin/ ) なのですが、アドレスに[Ajax.php]のみを使用しているプラグインもあるのでアクセス制限の対象から除外しておく必要があります。
adminとは、コンピュータやネットワークの管理権限の有る者を意味しています。
Ajaxとは、「Asynchronous JavaScript + XML」の略で、非同期なデータ処理の事です。
少し違うのですがイメージとしては、インターネットでつながった相手とゲームをプレーする事が同期とした場合、非同期とは、オンラインゲームを一人でプレーするようなイメージです。
送信する側と受信する側がオンラインである必要がなく「JavaScriptとXMLを使って一方的にサーバーと通信を行うこと」が出来る接続方法です。
load-styles.phpは、スタイルシートを構成するものです。
除外しておかないと、WordPressのログイン画面やダッシュボードのスタイルが崩れてしまう可能性があります。
ログインページ変更設定
WordPress管理画面のログインURLを変更する機能です。
SiteGuardの[プラグイン]をインストールした時点で自動的にURLが変更されていますが、URLの文字列を後で、変更することもできます。
変更後のURLは、[login_数字5桁]が設定されますが[英数字・ハイフン・アンダーバー]などを使用して語尾の数字5桁の部分を変更する事が出来ます。
ON設定にした場合、ログインページにアクセスしたさい、[このサイトにはログインできません]と表示されますが、サイト自体は表示されているので TOPページにWordpressのダッシュボードへログイン出来るURLの表示がある場合、ログインページにアクセスする事が出来ます。 しかしそれでは、セキュリティー強化の為にアドレスを変更した意味がないので、TOPページからログインの出来るURLを外す事を推奨します。
設定方法
「ログインページ変更」の設定画面から「変更後のログイン画面名」に任意の文字列を入力し「変更を保存」ボタンをクリックすれば、設定できます。
もし、ログイン画面を初期設定のURLに戻したい場合は「OFF」をクリックして「変更を保存」をクリックすれば、初期設定の「wp-login.php」に戻す事が出来ます。
画像認証設定
この機能は、ログインなどをする際に、表示された文字列を入力することを条件とした機能です。
WordPress管理画面へのハッキングなどによる攻撃は、ボットと呼ばれる自動ブログラムで行われる(ブルートフォースアタック)が多いのですが、そのボットには画像の文字列を判別する機能がないため、画像認証による対策は有効と言えます。 さらに、英数字などの文字列を日本語にすることによって、さらに攻略をさせづらくする効果があります。
設定方法
「画像認証」の項目、それぞれに[ひらがな・英数字・無効]の設定が個別に出来る様になっています。
※:注意
1.画像認証は4文字固定なので文字数を変更する事はできません!。
2.英数字の画像認証は、大文字と小文字の区別が無いのですが、半角で入力する必要があります。
【設定できるページ】
・ログインページ
・コメントページ
・パスワード確認ページ
・ユーザー登録ページ
変更したい場合は、設定したいぺージにチェックを入れ、画像認証が[ON]になっていることを確認してから「変更を保存」のボタンをクリックしてください!。
ログイン詳細エラーメッセージの無効化設定
ユーザー名を知ろうとする攻撃を防御する為の機能です。
ワードプレスにログインするさいに、間違ったIDやパスワードで入室しようとした場合 [ユーザー名]または、[パスワード]が違います、といった表示が出ますが、この機能を[ON]にする事により、エラーメッセージをすべて同一のものに変更できます。
それにより[ユーザー名やパスワード]を知られにくくする事が出来ます。
設定する場合は、[ON]にして「変更を保存」ボタンをクリックしてください。
ログインのURLを変更したさいは、不正アクセスを防ぐためにサイトのTOPページに、「ログイン」のリンクを張らないことをお勧めします。
※[ログイン失敗・ログインロック・フェールワンス]のエラーメッセージは固定なので、自分で変更する事は出来ません。
ログインロック設定
ログインのロック期間を設定する事が出来ます。
連続してログインを失敗した時にログインできなくする機能です。
設定は[期間・回数・ロック時間]の3タイプがあります。
期 間 [1秒・5秒・30秒] 回 数 [3回・10回・100回] ロック時間 [30秒・1分・5分]
設定をする場合は、[ON]にして「変更を保存」ボタンをクリックしてください。
ログインアラート設定
ログインするさいに、登録したメールアドレス宛に通知されます。
ブログサイトを共有している場合「管理者のみ」にチェックを入れると、管理者権限を持つユーザーのみが管理対象者になります。 連絡メールに届く、サブジェク(送信元の情報、経由したメールサーバー情報)などや、メールの本文を編集することも出来ます。 これらの内容を埋め込むには、以下の変数を含めることができます。
| 変数名 | 置き換わる内容 |
|---|---|
| サイト名 | %SITENAME% |
| ユーザー名 | %USERNAME% |
| 日付 | %DATE% |
| 時刻 | %TIME% |
| IPアドレス | %IPADDRESS% |
| ユーザーエージェント% | %USERAGENT% |
| リファラー | %REFERER% |
設定するには、ログインアラートの設定が[ON]になっていることを確認して「変更を保存」のボタンをクリックしてください!。
フェールワンス設定
この機能は、IDとパスワードが正しくても、必ず1回目のログインに失敗させる機能です。
この機能は、1度目のログインを故意に失敗させる事により、コンピューターによる(総当たり攻撃)やIDとパスワードを何らかの方法で入手した者などから、不正アクセスの被害をかわす事が出来ます。エラー表示後の5秒以降から1分以内に正しいIDとパスワードを再度入力してログインする事が出来ます。
設定をする場合は[ON]になっていることを確認して「変更を保存」と言うボタンをクリックしてください!。
XMLRPC防御設定
ピンバックの無効化とXMLRPCでの通信を防御する機能です。
ピンバックとは
別のWordPressブログで書かれた記事のURLを、自分の記事内に張ったことを相手に知らせる機能の事で、記事を投稿すると自動的に送信されます、ピンバックはWordPressで作成されたブログでのみ有効な為、相手がWordPressを使っている場合に相互にリンクし合う事ができます。
XMLRPCとは
メールなどで、通信するときに使う形式のひとつで、XML形式のデータをHTTPでやり取りするためのファイルデータのひとつです、ざっくり説明すると、ワードプレスの記事投稿のテキストで書く際のHTML形式の様な[<strong>大文字</strong>]ファイルデータに近い形式の様なものです。
無効化したい場合は、チェックいれて「変更を保存」ボタンをクリックしてください。
注意点として、XMLRPCを無効化すると、他のプラグインに影響が出る場合があるのでチェックを入れない方が無難かもしれません。
ピンバック機能を悪用してDDoS攻撃をされた、などの報告もある様なので、ピンバック機能が不要な場合はON のままにしておいた方が良いと思います。
DDoS攻撃とは、Distributed Denial of Service(attack)の略。複数のクライアントから大量のパケットを送信することで、標的となるサーバーのサービスを不能にする攻撃(DoS攻撃)の一種。セキュリティの甘い多数のサイトを踏み台にクラッキングツールを仕込み、一斉に1つのサイトを攻撃する。大きく分けるとソフトウェアやプロトコルの不具合をねらう攻撃と、単純にサーバーに過剰な負荷をかける攻撃に分けられる。特に後者の場合、一般の不正アクセスと異なり送信されてくるパケットが不正には見えないので、根本的な解決手段はない。
更新通知設定
WordPressのシステム・テーマ・プラグイン・の更新が必要になった場合に通知がメールに届く設定です。
[ワードプレス・テーマ・プラグイン]の更新は、セキュリティ対策として常に最新のバージョンにしておくことが良いとされてるので、あまりログインしないブログサイトは、ONにしておくと良いかもしれません!。
WordPressの更新
無効・有効
プラグインの更新
無効・すべてのプラグイン・アクティブなプラグインのみ
テーマの更新の設定
無効・すべてのプラグイン・アクティブなプラグインのみ
設定する場合は「変更を保存」ボタンをクリックしてください。
WAFチューニングサポート設定
WAF(Site Guard Lite)の除外ルールの[登録、編集、削除]を設定する機能です。
シグネチャとは、データ通信(メールなど)の末尾に付く、送信者の署名データファイルなどの事を言います。
シグネチャのパターンを識別し、照合する事により、攻撃を検知もしくは防御するのですが、誤検知(正常な通信を誤って検出すること)の可能性がまれにあるため、正常なデータである事を示す必要があります。
シグネチャには、誤検知が発生したシグネチャ名や、シグネチャIDを指定してください。
複数ある場合は、改行で区切って入力してください。 ちなみに、パスワードは指定できません。
ファイル名は、URLより前の部分をペーストすることもできます。
※この機能を利用するには、Webサーバー上にWAFの(Site Guard Lite:サイト・ガード・ライト)がインストールされている必要があります。
WAFとは「Web Application Firewall:ウェブアプリケーションファイアウォール」の略で、ウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。
Site Guard Liteは、ウェブサーバー自体にインストールされる、サーバーのモジュールとして動作するホスト型ソフトウェアなので、レンタルサーバーが対応していない場合は利用する事が出来ません。
対応している場合でも、OFFのままでも良いと思いますが、403エラーなどが表示される場合は設定を後から変更することも出来ます。
設定内容を適用するには、「ルールの適用」ボタンをクリックしてください。
追加したい場合
「新しいルールを追加」ボタンをクリックすると、追加画面が開きます。
シグネチャ・ファイル名・コメントを入力して[保存]をクリックすると登録できます。
編集したい場合は[シグネチャ]に登録した部分にカーソルを合わせると[編集・消除]と表示されるので「編集」をクリックすれば、上記のルール追加画面が開きます。
削除したい場合
[シグネチャ]一覧から消除したい項目にチェックを入れます、全てを消除したい場合は(一括操作にカーソルで合わせチェック)をいれ[適用]ボタンをクリックしてください!。
削除確認画面に切り替わります。
表示内容に除外ルールが混じっていないことを確認して「削除の確認」ボタンをクリックしてください。
詳細設定
IPアドレスの取得方法を設定します。
通常はリモートアドレスに選択されています、特に設定を変更する必要はないので、そのままで問題はありません。
Webサーバーの前段にプロキシーサーバーやロードバランサーが存在し、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-For値の右端から何番目かを表します。
X-Forwarded-For レベル:1 xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz X-Forwarded-For レベル:2 xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz X-Forwarded-For レベル:3 xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz
X-Forwarded-For レベルを選択し、X-Forwarded-Forヘッダーが存在しない、または、指定したレベル値が存在しない場合に、リモートアドレスから取得する事ができます。
ログイン履歴設定
ログイン履歴の記録を確認することができます。
見覚えのない履歴がないか確認する事が出来ます。履歴は最大で1万件記錄され、1万件を超えると古い履歴から順に削除されていきます。
ログイン履歴は[日時・結果・ログイン名・IPアドレス・タイプ]の情報を確認する事が出来ます。
日時:ログインを試みた日時
結果:ログイン出来たかの結果
ログイン名:ログインに使われたアカウント名
IPアドレス:ログインを試みた接続元のIPアドレス
タイプ:アクセス先のページ「ログイン画面」など。
結果の欄の「成功」一覧にあるログインに見覚えがない場合は、改ざんが行われた形跡がないか確認して、パスワードを変更するなどの対応をする事をおススメします。
ブログにユーザーのアクセスが増えてくる前に、セキュリティ対策としてインストールしておくと良いプラグインだと思います!。