今回は『SiteGuard WP Pluginの設定と使い方』について解説していきます。
SiteGuard WP Pluginは設定項目が非常に多いセキュリティ対策プラグインです。
一つずつ画像付きで詳しく紹介していきますので、目的に合わせて設定を行っていきましょう。
最後に僕のブログで行っている設定をまとめてご紹介しますので、合わせて参考にしてみてください。
SiteGuard WP Pluginの設定と使い方
動画でも解説していますので、合わせて参考にしてみてください。
SiteGuard WP Pluginのインストール・有効化
まず最初に、WordPressに『SiteGuard WP Plugin』をインストール・有効化していきます。
- 『プラグイン』をクリック
- 『新規追加』をクリック
- キーワード欄に『SiteGuard WP Plugin』と入力
- 『今すぐインストール』をクリック
インストールが完了したら、『有効化』をクリックします。
「プラグインを有効化しました」という文言が出れば、『SiteGuard WP Plugin』のインストール・有効化は完了となります。
ログインページ変更
『SiteGuard WP Plugin』の有効化が完了すると、ログインページが変更になっています。
『新しいログインページURL』をクリックします。
WordPress管理画面のログインページに移動しますが、URLの末尾が「login_◯◯◯◯◯」のように変わっているはずです。
今後はこのURLでログインしますので、必ずこのページをブックマークしておきましょう。
また、画像認証も追加されていますので、表示されている文字を入力してログインしてください。
なお、画像認証はナシにすることもできますが、その方法はあとで解説していきます。
WordPressにログインし直したら、左サイドバーに追加された『SiteGuard』をクリックします。
SiteGuardで設定できる項目一覧が表示されていますが、まずは『ログインページ変更』の設定を確認していきましょう。
『ログインページ変更』の設定画面がこちらです。
① こちらをOFFにすると、今まで通りのログインURLでログイン可能となります。
ただし、WordPressのログインURLは共通のため、この機能をOFFにするとセキュリティが甘くなってしまうので、ONのままにしておくことをオススメします。
②『変更後のログインページ名』は、英数字・ハイフン・アンダーバーで好きな文字列に変更可能です。
もし変更した場合は、もう一度ログインページに移ってブックマークしておきましょう。
③ オプションの『管理者ページからログインページへリダイレクトしない』には、必ずチェックを入れてください。
こちらにチェックを入れておかないと『https://◯◯◯.com/wp-admin』と入力した場合、ログインページに移動してURLがバレてしまいます。
ログインページのURLを変更した意味がなくなってしまいますので、必ずチェックを入れておいてください。
なお、ログインページを変更した際は、WordPressの管理者用メールアドレスに、このようなメールが届いています。
ログインURLが分からなくなった場合は、こちらを確認してください。
また、この変更通知メールも紛失してしまった場合は、利用しているサーバーの管理画面内の『.htaccess』でも確認可能です。
この確認方法も合わせて覚えておきましょう。
管理ページアクセス制限
『管理ページアクセス制限』の設定画面がこちらです。
こちらをONにすると、管理ページにアクセス制限をかけてセキュリティを高めることができます。
しかし、IPアドレスが変わるとログインできなかったり、24時間以上ログインしていないとログインできなくなるなど、運営者側にとっても大きなデメリットがあります。
WordPressのセキュリティ対策は、SiteGuardの他の機能で高められますので、この機能は基本的にはOFFが推奨です。
もしONにしていてログインできなくなった場合は、FTPソフト等でプラグイン自体を削除すると解消されますので、一応覚えておいてください。
画像認証
『画像認証』の設定画面がこちらです。
先ほどログイン画面で文字入力が必要になったのは、この機能がONになっていたのが原因です。
ログインページ以外にも、コメント・パスワード確認・ユーザー登録ページにも画像認証を設定できます。
悪質なボットからの不正ログインを防ぐのに一定の効果がありますが、自分がログインするときも面倒というデメリットがあります。
なので、「面倒でもよりセキュリティを高めたい」という方はONを推奨します。
なお、僕はこの機能はOFFにしています。
Invisible reCAPTCHAというプラグインで、同じようにボットからの不正ログイン対策を行っているからです。
画像認証のような文字入力は不要ですし、お問い合わせページのスパムメール対策もできますので、よろしければ合わせて参考にしてみてください。
ログイン詳細エラーメッセージの無効化
『ログイン詳細エラーメッセージの無効化』の設定画面がこちらです。
こちらはONとOFFの2択だけとなっています。
この機能をOFFにしてログインに失敗した場合、
もしログインIDが合っていると「パスワードが間違っています」という案内が出て、ログインIDは合っているとバレてしまいます。
しかし、ONにしてログインに失敗した場合は、
ログインIDが合っていたとしても「入力内容を確認の上、もう一度送信してください」という案内が出ますので、何を間違えてログインに失敗したのか分からない状態になります。
ですから、細かい部分ではありますが、少しでもセキュリティを高めたい場合は、ONを推奨します。
ログインロック
『ログインロック』の設定画面がこちらです。
この場合「5秒以内に3回ログインに失敗したIPアドレスからのログインを1分間ブロックする」という設定になります。
こちらも悪質ボットからの不正ログインを防ぐ機能になりますので、ONを推奨します。
なお、より厳しくしたい場合は『30秒・3回・5分』を選択してください。
ログインアラート
『ログインアラート』の設定画面がこちらです。
こちらをONにしていた場合、ログインするたびに管理者用メールアドレスに、このようなメールが届きます。
↓↓↓
リアルタイムで不正ログインがないかチェックできますので、心配な方はONを推奨します。
フェールワンス
『フェールワンス』の設定画面がこちらです。
フェールワンスをONにしておくと、正しいログイン情報を入力しても、必ず1回失敗します。
その後、5秒以上60秒以内にもう一度正しいログイン情報を入力すれば、ログインが成功するという機能です。
一度ログインに失敗した情報をもう一度入力しようと考える人は少ないはずです。
この機能も不正ログインに対して一定の予防が期待できますので、ログイン対策を強固にしたい方は、ON推奨です。
XMLRPC防御
『XMLRPC防御』の設定画面がこちらです。
XMLRPC防御をONにすると、外部ツールなどを使用した操作を防御してくれます。
ですから、何か他のツールを組み合わせてWordPressを運営している方は、ONとOFFの両方を試して、不具合が生じるようならOFFにしたほうが良いでしょう。
特に何も連携などしていない方は、ON推奨です。
更新通知
『更新通知』の設定画面がこちらです。
『更新通知』をONにすると、WordPress・プラグイン・テーマで更新が必要になった際、管理者用メールアドレスに通知が届きます。(「WordPressの更新だけ通知する」のような設定も可能)
しかし、WordPressにログインすれば更新が必要かどうかは管理画面内ですぐに分かりますので、毎日ログインしている場合はOFFでも大丈夫かと思います。
放置型のサイトを運営している方は「いつの間にか表示が崩れてた」なんてことがないように、ONにしておいたほうが無難でしょう。
WAFチューニングサポート
『WAFチューニングサポート』の設定画面がこちらです。
WAFというのは「Web Application FireWall」の略称で、不正アクセスからの改ざんや情報漏洩を防ぐ、各サーバー会社から提供されている機能です。
しかし、WAF設定を行うとエラーが起こる場合があるため、その際にこの『WAFチューニングサポート』で除外設定を行います。
基本的にはOFFで構わないと思いますが、WAFを利用していてエラーが出た場合は、ONにして除外設定を行いましょう。
詳細設定
『詳細設定』の画面がこちらです。
通常は『リモートアドレス』なので、この設定は特に変更する必要はありません。
ログイン履歴
『ログイン履歴』の画面がこちらです。
こちらでは、最大10000件のログイン履歴が確認できます。
10000件を超えた場合は、古い履歴から自動で削除されていきます。
ログインするたびに毎回見る必要はないと思いますが、気になるときはチェックしてみましょう。
まとめ
今回は『SiteGuard WP Pluginの設定と使い方』について解説してきました。
最後に僕が行っている設定はこちらになります。
- 管理ページアクセス制限:OFF
- ログインページ変更:ON
- 画像認証:OFF
- ログイン詳細エラーメッセージの無効化:ON
- ログインロック:ON
- ログインアラート:ON
- フェールワンス:ON
- XMLRPC防御:ON
- 更新通知:ON
- WAFチューニングサポート:OFF
参考にしていただけると幸いです。
