【最新】SiteGuard WP Pluginの設定方法・使い方・オススメ設定の解説【WordPressセキュリティ対策】

2021/08/27

WordPress

よーすけ

このページでは、WordPressのセキュリティ対策として有名なプラグインの「siteguard wp plugin」の設定方法から、各種設定の項目についての解説をします。

WordPressを利用する以上、セキュリティ対策を怠ってはいけません。
プラグインを利用しなくてもできるセキュリティ対策はありますが、もっともかんたんな方法がプラグインを利用したやり方です。

「siteguard wp plugin」はセキュリティ対策として有名なプラグインであり、日本語にも対応していることから、WordPressに詳しくない、そもそもウェブにも不慣れという人にも取り組みやすいセキュリティ対策方法です。

ぜひ記事を見ながら実際に設定を行ってみてください。

WordPressのセキュリティ対策で有名な「siteguard wp plugin」とは
「siteguard wp plugin」を使うまでの流れ（インストール方法）
- プラグイン（SiteGuard WP Plugin）をWordPressにインストールする
- プラグイン（SiteGuard WP Plugin）を有効化する
「siteguard wp plugin」でできる各種設定項目紹介
まとめ

WordPressのセキュリティ対策で有名な「siteguard wp plugin」とは

「siteguard wp plugin」とは、WordPressのプラグインの一つで、悪意のある第三者からの管理画面（ダッシュボード）や、ログインページへの不正ログインを目的とした攻撃に対して、セキュリティを向上させ、防いでくれるものとなります。

プラグインをインストールするだけで利用可能となるお手軽さと、日本語で設定できるという点で、パソコンやネット、WordPressに詳しくない人でもかんたんに取り入れられることが人気のポイントです。

WordPressは、初期設定のままだと第三者の不正ログインに対して、非常に弱い状態になっています。

ご自身のホームページなどであれば、被害はご自身だけのものかもしれませんが、企業のホームページをWordPressで運営している場合、不正ログインから起こり得るその損害は計り知れません。

今現在、セキュリティ対策を用いていない場合は、必ず「siteguard wp plugin」などの対策を用いて、セキュリティを高めましょう。

「siteguard wp plugin」を使うまでの流れ（インストール方法）

まずは「siteguard wp plugin」をご自身のWordPressで使用するために、WordPressへインストールを行い、「プラグインの有効化」まで行いましょう。

プラグイン（SiteGuard WP Plugin）をWordPressにインストールする

まずは「SiteGuard WP Plugin」をWordPressにインストールします。

WordPressの管理画面（ダッシュボード）から、「プラグイン」＞「新規追加」の手順で、検索バーに、「SiteGuard WP Plugin」と入力します。

検索結果に出てきた「SiteGuard WP Plugin」の「今すぐインストール」をクリックします。

プラグイン（SiteGuard WP Plugin）を有効化する

インストール完了後、「有効化」をクリックして、プラグインを有効化させます。

これで、「SiteGuard WP Plugin」がお使いのWordPressで有効化されました。

注意

「SiteGuard WP Plugin」を有効化すると、WordPressにログインするためのログインページのURLが自動で変更されます。

変更されたログインページのURLを忘れてしまうと、WordPressにログインできなくなってしまいます。
プラグイン有効化後、必ずログインページのURLを控えるようにしましょう。
※管理者として登録しているメールアドレスにも、変更後のログインページのURLが届きます

「siteguard wp plugin」でできる各種設定項目紹介

このセクションでは、「SiteGuard WP Plugin」でどういったセキュリティ対策が行えるのか「SiteGuard WP Plugin」で行える各種設定項目を紹介していきます。

まずは、管理画面の「SiteGuard」から「SiteGuardのダッシュボード」にアクセスしましょう。

ダッシュボードの項目の内容を順に、必要に応じて設定を行いましょう。

管理ページアクセス制限

「管理ページアクセス制限」は、ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守る機能です。デフォルトはOFF。

管理ページ（/wp-admin/以降）に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL（/wp-admin/以降）を指定することができます。
出典元：SiteGuard WP Plugin

この機能をONにすると、WordPressにログインしている場合のみ、その接続元（接続者）のIPアドレスのみ「/wp-admin/」以降にアクセスすることができるようになります。

また、24時間以上ログインが行われないIPアドレスは順次削除されるので、再度「/wp-admin/」以降にアクセスする場合には、ログインページからログインが必要と、手間が発生しますが、それにより、第三者が万が一ログインに成功したとしても、24時間後には再度ログインを要求することができることがセキュリティにも強いポイントです。

ログインが行われていないIPアドレスのユーザーが「/wp-admin/」に対してアクセスを試みようとすると、404ページを返します。

「除外パス」に「/wp-admin/」以降のパスを入力することで、この管理ページアクセス制限の設定から一部除外することが可能です。

デフォルトでOFFになっていることもありますが、IPアドレスに詳しくない場合など、ONにすることでログインできなくなってしまう方もいますので、必要に応じてON・OFFを選択ください。

ログインページ変更

「ログインページ変更」は、ログインページURLを変更することができる機能です。デフォルトはON。

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ（wp-login.php）の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
出典元：SiteGuard WP Plugin

WordPressの初期のログインURLは、WebサイトのトップページURLの末尾に、「wp-login.php」または「wp-admin」と入力することでかんたんに表示されてしまいます。

また、セキュリティ対策を講じていない場合、ユーザー名も比較的かんたんに割り出せてしまうため、あとはパスワードを総当り（ブルートフォースアタック）で不正ログインされてしまいます。

なので、不正ログインを防ぐためにも、ログインページのURLを変えてしまうことが何より効果的なセキュリティ対策になります。

「SiteGuard WP Plugin」を有効化すると、自動で5桁の乱数が「変更後のログインページ名」に設定されます。
なので、そのログインページURLをブックマークするなどして、ログインページURLを忘れないように控えておきましょう。

もし、ログインページのURLを任意の文字列にしたい場合は、テキストボックスに文字列を入力し、「変更を保存」することで、任意のURLにすることができます。

ただし、サイト名などわかりやすいものにしてしまうと、ログインページのURLを変更するセキュリティ効果としては弱いものになってしまいますので、注意してください。

オプションで、「管理者ページからログインページへリダイレクトしない」を選択することができます。

これは、WebサイトのトップページURLの末尾に「wp-admin」と入力して、ログインページへリダイレクトしないようにするためのものです。

デフォルトではチェックが入っていませんが、チェックを入れておいて問題ありません。

画像認証

「画像認証」は、ログインページと、コメント投稿時に画像認証を要求することができる機能です。デフォルトはON。

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
出典元：SiteGuard WP Plugin

ONにすることで、こういった画像認証が表示されます。

画像認証は、「ひらがな」、「英数字」から選択することができますが、「英数字」だと世界的に使用されている文字になるため、セキュリティを高めたいのであれば、「ひらがな」を推奨します。

ログインページだけでなく、コメントページ、パスワード確認ページ、ユーザー登録ページにも画像認証を追加することが可能です。

ログイン詳細エラーメッセージの無効化

「ログイン詳細エラーメッセージの無効化」は、ログインエラーが発生した場合に、具体的なエラーメッセージを表示するのではなく、単一の簡易的なメッセージを表示させることで、ログインエラーの原因を特定されにくくさせるものです。デフォルトはON。

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
出典元：SiteGuard WP Plugin

例えば、ログイン時、「ユーザー名」または「パスワード」が間違っている場合、どちらが誤っているのかエラーメッセージで教えてくれますが、「ログイン詳細エラーメッセージの無効化」をONにしておくことで、どちらが間違えているのかを曖昧な形にしてエラーメッセージを表示させるようにします。

ログインロック

「ログインロック」は、ログインの失敗を繰り返す接続元のIPアドレスを指定し、一定期間ログインをロックさせる機能です。デフォルトはON。

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
出典元：SiteGuard WP Plugin

設定画面では、「どれくらいの期間で」、「どれくらいの回数で」、「どれくらいロックされるのか」という設定値を指定することができます。

デフォルトでは、5秒間の期間に3回ログインを繰り返し失敗した場合、1分間のログインロックを設けるように設定されています。

セキュリティを高めるなら

「期間」を「30秒」
「回数」を「3回」
「ロック時間」を「5分」

とするのが良いでしょう。

ログインアラート

「ログインアラート」は、WordPressにログインがあった場合に、メールでログインをお知らせする機能です。デフォルトはON。

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。（サイト名：%SITENAME%、ユーザ名：%USERNAME%、日付：%DATE%、時刻：%TIME%、IPアドレス：%IPADDRESS%、ユーザーエージェント：%USERAGENT%、リファラー：%REFERER%）XML-RPCによるアクセスは通知されません。
出典元：SiteGuard WP Plugin

自身でログインアラートメールの件名や、本文に記載する情報を指定することができます。

ログインするたびにメールが送られてくるので、メールが不要な場合はOFFにしてもよいですが、ONにしておくことで、不正アクセスにはいち早く気づくことができます。

フェールワンス

「フェールワンス」は、正しいログイン情報でログインしても、1回だけログインを失敗として処理させる機能です。デフォルトはOFF。

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、１回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
出典元：SiteGuard WP Plugin

このように、正しくログインしても必ず1回ログインが失敗となるので、正しいログイン情報を看破されにくい利点があります。

ただし、ご自身でログインする場合も、必ず1回目にログインが失敗となるので、5秒以降、60秒以内にもう一度ログイン情報を入力しなければいけないという手間が発生します。

XMLRPC防御

「XMLRPC防御」は、WordPressのXMLRPCの悪用を防ぐ機能です。デフォルトはON。

Pingback機能を無効化する、あるいは、XMLRPC全体（ xmlrpc.php ）を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
出典元：SiteGuard WP Plugin

WordPressのXMLRPCとはWordPress外のアプリケーションがWordPressとやり取りをするための機能で、その悪用を防ぐための設定になります。

例えば、WordPressの投稿を外部プログラムなどを用いて行っている場合は、この機能がONになっていることでうまく動作しなくなる場合もあるので、状況に応じてON・OFFを選択しましょう。

ユーザー名漏えい防御

「ユーザー名漏えい防御」は、第三者による「ユーザー名」の特定を防ぎ、漏えいをさせないための機能です。デフォルトはOFF。

“/?author=数字” のアクセスによるユーザー名の漏えいを防止します。また、REST API によるユーザー名の漏えいを防止するため、REST API を無効化することができます。REST API の無効化によって動作しないプラグインが存在する場合には、除外プラグインのリストにプラグイン名を追加してください。有効になっているプラグインのリストから追加することができます。
出典元：SiteGuard WP Plugin

初期設定のWordPressでは、WebサイトのトップページのURLの末尾に、「/?author=1」と入力することで、該当の数字に割り振られているユーザーの投稿した記事を表示させることができます。

そのページのURLに、そのユーザーのユーザー名が表示されるため、ログインに使用するユーザー名をかんたんに割り出せてしまいます。

デフォルトはOFFですが、できればONにしておきたい機能です。
※ユーザー名を変更させるプラグインで対策をしている方は不要です

更新通知

「更新通知」は、WordPressやプラグイン、テーマに更新が必要になった場合にメールで通知をする機能です。デフォルトはON。

セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
出典元：SiteGuard WP Plugin

一般的に、古いバージョンほどセキュリティのリスクは高くなります。

特に、有名なプラグインやテーマというのは、狙われやすいケースがあるため、常に最新のバージョンに保っておくことがセキュリティ向上としても重要です。

注意

PHPのバージョンとテーマやプラグインのバージョン相性が悪く不具合を起こす場合もあるので、テーマやプラグインの新しいバージョンができたからといって、すぐに更新をかけず、動作上問題ないか確認してからアップデートを行いましょう。

WordPressや、プラグイン、テーマの更新が可能になった場合、WordPressの管理者メールアドレス宛に、更新通知を送信してくれます。

WAFチューニングサポート

「WAFチューニングサポート」は、WAF （SiteGuard Lite）の除外ルールを作成するための機能です。デフォルトはOFF。

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知（正常なアクセスなのに、403エラーが発生する等）を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
出典元：SiteGuard WP Plugin

これは、「SiteGuard WP Plugin」だけでなく、Webサーバーに「WAF ( SiteGuard Lite )」が導入されている場合に、その設定を行う機能のため、「SiteGuard WP Plugin」を単体で利用することを想定してご紹介している今回は説明を割愛します。

詳細設定

「詳細設定」は、各設定項目で参照されるIPアドレスの取得方法を設定する機能です。

IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-Forの値の右端から何番目かを表します。
出典元：SiteGuard WP Plugin

基本的には「リモートアドレス」のまま使用することになるので、特段設定が必要な項目ではありません。