今回は、WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の使い方について紹介していこうと思います。

WordPressは世界的にもメジャーなCMS（コンテンツマネジメントシステム）であるが故に、外部からの攻撃や標的にされやすいです。

この記事を読んでくださっている方は、是非WordPressのセキュリティ対策をおすすめします。

「SiteGuard WP Plugin」なら簡単且つ無料で質の高いセキュリティ対策をすることが可能なので、是非導入してみてください！

WordPressのセキュリティについて

冒頭でもいった通り、WordPressは世界的にもメジャーなCMSとして知られています。

w3techsによると、WordPressは全世界のWEBサイトの43.1%、CMSでは65.2%のシェアを誇っています。

つまり、全世界の約半分はWordPressで作られているということです。

しかし、WordPressは有名であるが故に、ハッカーなどの外部からの攻撃の標的にされやすいです。

アクセス数に関係なく、WordPressを使っている全員がセキュリティ対策をすべきです。

例えば、セキュリティ対策をしていないWordPressサイトだと、「https://ホスト名/wp-admin/」とサイトの末尾に「/wp-admin/」と追加すると、ログイン画面に移動してしまいます。

このようにWordPressには不正ログインされる隙があるので、しっかりセキュリティ対策をしていく必要があるのです。

「SiteGuard WP Plugin」とは？

「SiteGuard WP Plugin」とは、WordPressでセキュリティ対策をすることが出来る無料のプラグインです。

「SiteGuard WP Plugin」では主に以下のような攻撃を防ぐことが出来ます。

・不正ログイン

・管理ページ（/wp-admin/）への不正アクセス

・コメントスパム

少し古い記事になりますが、ロリポップサーバーがWordPressのセキュリティプラグイン として「SiteGuard WP Plugin」を推奨していることから、信頼性の高いプラグインということが分かるでしょう！

使っているユーザーも多いので、もし使い方に困ったときもネットで解決案を知ることも出来ますよ。

「SiteGuard WP Plugin」のインストール方法

それでは、「SiteGuard WP Plugin」のインストール方法について見ていきましょう！

まずは、WordPressのダッシュボードにログインします。

それから、左のサイドメニューから「プラグイン＞新規追加」を選択します。

選択できたら、以下のような画面に遷移するでしょう。

検索バーで「SiteGuard WP Plugin」と検索し、「今すぐインストール」のボタンをクリックします。

そして「有効化」のボタンをクリックしましょう。

これでプラグインのインストールは完了です！

プラグインのインストールが完了するとログインページURLが変更されるので、必ずブックマークかメモをしておきましょう！

忘れてしまうとログイン出来なくなってしまうので、注意しましょう。

プラグインのインストール後に再びログイン画面に移動すると、以下の画像のようにデフォルトで画像認証が追加されます。

「SiteGuard WP Plugin」をインストールするだけでも、以前よりもセキュリティ対策が強化されますよ！

「SiteGuard WP Plugin」の設定方法

「SiteGuard WP Plugin」では、以下の項目を設定することが出来ます。

設定項目が多くて面倒のように見えますが、簡単に設定できます。

それでは1つずつ設定項目を見ていきましょう！

細かく設定するほどセキュリティ対策が強化されるので、是非試して見てください！

管理ページアクセス制限

管理ページへと不正アクセスされないようにする機能です。

ログインしていない接続元IPアドレスからの管理ページ（/wp-admin/以降）へのアクセスを制限します。

24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。

基本的にここは「ON」の設定にしておくと良いでしょう。

ログインページ変更

ログインページを変更することが出来ます。

ログインページを意図的に変更することで、不正アクセスを防ぐことが出来ます。

初期値は「login_<5桁の乱数>」ですが、好みの名前に変更することも可能です。

ログインURLは忘れないように必ずブックマークかメモを残しておくようにしましょう。

そして、オプションの「管理者ページからログインページへリダイレクトしない」にはチェックを入れておきましょう！

画像認証

ログインページやコメントページ、パスワード確認ページ、ユーザー登録ページでの画像認証の文字を設定することが出来ます。

こちらはデフォルトで設定されている「ひらがな」で良いでしょう。

外国からの攻撃もあるので、ひらがなにしておくのが無難です。

ログイン詳細エラーメッセージの無効化

ログインに関する詳細エラーメッセージが全て同じ内容になるので、何が間違っているのか攻撃者に特定されにくくなります。

デフォルトだとログインミスの際に、「ユーザー名が間違っています」などエラーが特定されてしまうので、セキュリティ上良くないです。

こちらは「ON」にしておきましょう。

ログインロック

ログインを指定期間且つ指定回数間違えると、指定した時間だけロックされます。

ここは好みでいいのですが、期間と回数の値が小さい方がすぐにロックになるので、セキュリティ対策になると考えています。

ログインアラート

こちらの設定を「ON」にすることで、不正ログインが会った際にメールでお知らせしてくれます。

もし不正ログインされた場合に気づくことが出来るので、設定を「ON」にしておきましょう。

フェールワンス

正しいログイン情報で入力しても、必ず１回だけログインが失敗する設定が出来ます。

これを設定することで、リスト攻撃を受けにくくなります。

１回目のログインが毎回失敗になるので面倒ですが、セキュリティ対策をさらに強化したい人は導入してみましょう。

XMLRPC防御

ピンバック機能、または、XMLRPC機能全体を無効にし、悪用を防ぎます。

初心者の方には少し難しいと思うので、デフォルトのままで大丈夫です。

ユーザー名漏えい防御

WordPressでは、サイトのURLの末尾に「?author=数字」とつけてアクセスすると、ユーザー名が分かってしまいます。

ユーザー名（ログインID）が知られるとあとはパスワードが当たれば不正ログインされてしまいます。

ユーザー名が漏洩しないようにも、こちらは設定を「ON」にしておきましょう。

更新通知

WordPressの更新、プラグインの更新、テーマの更新を通知してくれる機能です。

ここはご自由に設定してみてください。

WAFチューニングサポート

WebサーバにWAF（JP-Secure「SiteGuard Lite」）が導入されている場合に、WordPress内での誤検出（正常アクセスで、403エラーが発生する等）を回避するためのルールを作成する機能です。

少し難しい設定なので、デフォルトのままで大丈夫です。

詳細設定

IPアドレスの取得方法を設定することが出来ます。

ここも特に必要でなければデフォルトのままで大丈夫です。

ログイン履歴

サイトへのログイン履歴を一覧で見ることが出来ます。

ここで不正ログインを確認することも出来ます。

ログインURLが分からなくなった場合の対処法

ログインURLが分からなくなった場合は、.htaccessファイルをローカルに落としてきます。

ファイルを落とせたら、ファイルの中のコードを見ていきます。

コード途中にある「login_xxxxx」の部分の文字列がログインURLになります。

<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteBase /
    RewriteRule ^wp-signup\.php 404-siteguard [L]
    RewriteRule ^wp-activate\.php 404-siteguard [L]
    RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]
</IfModule>
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_END
#SITEGUARD_PLUGIN_SETTINGS_END

.htaccessからログインURLが特定できたら、「https://ホスト名/login_xxxxx」とURLを繋げてアクセスしてみてください。

これでログイン画面に移動できたらOKです！

これでログインURLを特定することが出来ました。

少し面倒なので、必ずログインURLが変更する場合はブックマークかメモに残しておくようにしましょう。

まとめ

以上が、WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の使い方でした。

WordPressはこれからますます利用者が増えていくと思われるので、今のうちにセキュリティ対策をしていきましょう！