WordPressのセキュリティ対策プラグイン「SiteGuard WP Plugin」が優秀!!国産なので日本語で使いやすく、不正アクセスやコメントスパムに対応など機能も豊富、またプラグインの負荷も少なくブログの表示速度にも影響が少ない優れたプラグインです。
- どうしてSiteGuard WP Pluginがオススメなのか?
- SiteGuard WP Pluginのインストールと設定方法
- SiteGuardでログイン出来なくなったときの対処方法
マメ子 どれが安心なんだろう~?
マメボーwordpressは、無料で使いやすく多くの利用者がいますが、その反面スパムに狙われやすく結構な危険が潜んでいます。。
「私のサイトは大丈夫!」って思っていても、ここ最近は、ブルートフォースアタックなど無差別に仕掛けてくるものもあり、ネットにつながっている以上は避けられません。
せっかく作っているブログにウイルスを仕込まれたり、乗っ取られたり、消滅したり・・・・
そうなったら目も当てられませんよね。
だから、セキュリティ対策をしっかりすることは非常に重要です。
ただ、やみくもにセキュリティ対策プラグインを入れまくるのは、ブログ負荷に繋がり表示速度を落とす原因にもなります。
本日は、安心して利用出来る国産プラグインで、機能も多く、ブログ負荷も少ない「SiteGuard WP Plugin」をご紹介します。
と、いうか、wordpressを使う方なら必須プラグインですので、入れていない方は是非導入してみてください!
マメボー
2010年から本格的なブロガーとして活動。アフィリエイトなど1年で月収200万円を達成し最高月収1500万円、43歳で累計4億円稼いでセミリタイア。仲間3人でノウハウをまとめた教材を販売し2万本以上売り日本一売れたアフィリエイト教材を販売。現在セミリタイヤしながら自身のノウハウや資産運用、節約術など、もともと凝り性なので徹底的に調べて、わかりやすくブログで発信中。
もはやwordpressのセキュリティ対策は必須!
こんにちは、マメボーです。
お使いのwordpressは、セキュリティ対策ばっちりですか~?
「は~い!Akismet」を入れているから大丈夫~!って声も聞こえてきそうですが、、、、
こちらをごらんください。
マメボーそう、本当に怖いのは、不正ログインによる不正アクセスです。。
ちなみにAkismetはコメントスパムを防ぐプラグインなので不正ログインは防げません。
これは、ブルートフォースアタックっといって、パスワードを全パターン、総当りで試してくる攻撃ですが、時間を見ても凄いですよね。
1秒おきにパスワードを試し、こんなのが47ページ(赤枠参照)永遠続いています。。
マメ子 マメボー私のブログが異常に攻撃されているわけじゃなく無差別攻撃なので、ネットにつながっている以上、すべてのwordpressがこの攻撃を受けています。。
adminなんてIDにして、6文字ぐらいのパスワードなら、30分もあれば解読されてしまうらしいですよ。
不正ログインされるとどうなるの?
もし、ブルートフォースアタックなどでパスワードがばれてログインされるとどのような被害がでるでしょうか?
考えられる限りご紹介します。
- wordpressごと乗っ取られ最悪消滅
- 一部コンテンツが改ざんされ自分がスパム化する
- SNSやサーバーなどの情報流失、二次的被害
■ wordpressごと乗っ取られ最悪消滅
ログインID、パスワードが勝手に変更されて完全に乗っ取られます。
サイトごと別のサイトに作り変えられ、今度は自身がウイルスをばらまくゾンビサイト化します。
スパムメールを大量に送る装置サイトになったり、ログインロックされ身代金を要求される場合もあります。
■ 一部コンテンツが改ざんされ、自分がスパム化する
知らぬ間にログインされ、一部のページのみ改ざんしたりします。
一部のページのみ改ざんしてこっそりスパムサイト化、アクセスを無断転送したり、ウイルスを仕込んで見た人を感染させるページに作り変えたりします。
気が付かなく、いつの間にか改ざんされている分、非常にたちが悪いです。。
■ SNSやサーバーなどの情報流失、二次的被害
IDやログイン情報が特定されることで、個人情報流出の可能性があります。
wordpressとつながっているSNSやサーバーの中にある他のサイト、そのままパソコンも乗っ取られると、銀行のIDなども乗っ取りの対象になります。。
マメ子 マメボーだから「SiteGuard WP Plugin」がオススメ!
昔は、コメント部分がスパムに狙われやすかったのでAkismetなどが有効でしたが、ここ最近は、コメントよりもログイン周りの方が狙われるようになってます。
しかも知ってますか!?
Akismetって商用利用できないってことを・・・
商用の中にはアドセンスなどのアフィリエイトも含まれており、利用するには有料版(月額625円)を使う必要があります。
現在wordpressを運営しているほとんどの方が、何かしらの広告をつけているので、そうなるとAkismetは利用出来ません。。
で、で、そこで登場するのが「SiteGuard WP Plugin」です。
SiteGuardは、特にログイン周りのセキュリティを強化し、かつコメントスパムにもAkismet同等の効果を持ちます!
SiteGuardの優れている部分を下記でまとめてみました。
- 国産プラグインで日本語表示、信頼性も抜群
- ログインページのURLを変更できる
- ログインページ、コメント欄に日本語の画像認証を追加
- ログインを失敗し続けるとログインロックがかかる
- ログインIDをわざと1回失敗する「フェールワンス」
- XMLRPC、ピンバック防御
- ログイン通知、更新履歴通知、ログイン履歴の確認など
SiteGuardの開発って日本のセキュリティ専門会社が行っているので安心ですし、特にログイン周りのセキュリティ対策が強力ですよね!
で、個人的に凄いって思ったのが、「日本語の画像認証」機能です。
マメボー英数字の画像認証って結構ありますが、日本語ってのは少ないんですよね。
この辺が、日本のセキュリティ専門会社ならではって感じですが、大半のスパムって海外からですけど日本語ってだけでお手上げらしいです。
私達も、アラビア語とか韓国語ってキーボードでどう打って良いかわからないですよね!
日本語ってだけでボットは回避できますし、人間であっても「what’s?」って効果があり諦めさせることが出来ます。
POINT
ログイン、コメントに日本語の画像認証が使えるだけで相当なセキュリティ効果があります!
プラグインの負荷が少なく、ブログ表示速度にも有効
SiteGuard WP Pluginのもう1つの利点ですが、負荷が非常に少ないって点です。
これだけのセキュリティ機能を持ちながら、データベースにそれほど大きな負荷はかけません。
不正ログイン対策なら「Google Invisible reCAPTCHA」もより強力ですが、強力な分どうしてもブログ速度に影響がでますが、
SiteGuardは、画像認証4文字を追加するだけなので、ブログ表示速度の影響もありません。
非常に単純な仕組みながら強力な仕掛けなので、その点で優れています。
SiteGuard WP Pluginのインストール手順
それでは、「SiteGuard WP Plugin」のインストール方法をご紹介します。
マメボー
まずは、ダッシュボードから「プラグイン」⇒「新規追加」をクリックします。
①キーワードから「SiteGuard」で検索し、②「今すぐインストール」をクリックします。
インストールが終わったら「有効化」をクリックします。
マメボー
有効化が終わったらダッシュボードの設定の下に「SiteGuard」が追加されます。
SiteGuard WP Pluginの設定方法
それでは、SiteGuardの設定方法をご紹介します。
まずは、ダッシュボードの「SiteGuard」から「ダッシュボード」をクリックします。
こちらが「SiteGuard」の管理画面になります。
設定の中に「✔」が付いているものが機能がONになっているものです。
各設定状況からそれぞれの設定が可能です。
「管理ページアクセス制限」の設定方法
POINT
オススメ設定:毎日ログインする方はON、それ以外、外出先からログインする方はOFF
マメ子 マメボー管理ページアクセス制限ですが、24時間以内にログインしていないIPアドレスに対してwp-admin以降の階層で404のエラーページで遮断する機能です。
直接、wp-admin以降にアクセスし、WordPressの脆弱性をつかれると、どんな対策をしてもログインIDなどがばれてしまうので、非常に強力な機能と言えます。
ただし、24時間以上ログインしないと自身もログイン出来なくなる可能性もあり、しっかりログインURLを管理する必要があります。
また外出先などIPが変わる環境でもログインも困難になるので、自身の環境でON、OFFを判断しましょう。
:ログイン出来なくなってしまった場合の対処方法は下記の「ログイン出来ないとき」でご紹介しています。
「ログインページ変更」の設定方法
POINT
オススメ設定:ON(※変更したURLはお気に入りに登録)
マメ子 マメボー通常「https://URL.com/wp-login.php」にアクセスすると誰でもログイン画面に行くことができるが、そのURLを変更することが出来ます。
例:https://URL.com/wp-login
↓
例:https://URL.com/wp-login_12345
これによって自分以外をログイン画面に行かせないように出来ます。
ONにすると自動でURLが作られますが、任意で数字を決めることも出来ます。
またオプションにチェックを入れることで管理者ページからのリダイレクトを禁止出来ます。
通常は、wp-adminにアクセスすると自動でログイン画面に転送されログインURLがバレるのを防げます。
:ログインURLは、必ずお気に入りなどに登録して忘れないでおきましょう。
:もしログインURLを忘れた場合は、.htasseccの中に「例:RewriteRule ^login_12345」記載があります。下記の「ログイン出来ないとき」参照
「画像認証」の設定方法
POINT
オススメ設定:ON(すべて:ひらがなにチェック)
ログインページ、コメント部分、パスワード再発行ペーシ、ユーザー登録ページの4つに対して、画像認証を付けることが出来ます。
ログインページはもちろんですが、コメント部分にも対応しているので、コメントスパム対策も可能で、これだけでもAkismet同等の効果があります。
特にオススメは、外国人やボットが判断できない「ひらがな」に設定するのが強力です。
「ログイン詳細エラーメッセージの無効化」の設定方法
POINT
オススメ設定:ON
この設定ですが、通常、ログイン時に間違えると下記の表示が出ます。
- ユーザー名を間違えると「ユーザー名が違います」
- パスワードを間違えると「パスワードが違います」
上記のエラー文だとユーザー名やパスワードの方が違うことを教えてしまいます。
このエラー文を一律にすることで、ユーザー名、パスワードのどこが間違っても同じエラーに表示されます。
「エラー: 入力内容を確認の上、もう一度送信してください。」に統一されます。
「ログインロック」の設定方法
POINT
オススメ設定:ON(期間5秒、回数3回、ロック時間1分)
ログインロックですが、○秒の間に○回ログインを失敗したら○分ロックがかかる機能です。
IPアドレス単位でロックが可能で、ブルートフォースアタックなどのボットの足止めになり効果的です。
ロック時間を伸ばせばその分効果的ですが、自分が間違ったときに5分は結構長いので1分が感覚的にちょうどよいです。
「ログインアラート」の設定方法
POINT
オススメ設定:ON
ログインアラートですが、ログインごとにメールで通知してくれるサービスで、不正ログインがあった際に気づくことが出来ます。
メール本文などのカスタマイズも可能で通知文を選択出来ます。
ログインのたびにメールが来るので結構面倒ですが、いち早く不正ログインに気がつけるので重要な機能です。
「フェールワンス」の設定方法
POINT
オススメ設定:ON(外出先から接続が多い人はOFF)
フェールワンス機能ですが、正しいパスワードを入力しても必ず一度失敗になります。
その後5秒から60秒以内に再度入力することでログイン出来ます。
ブルートフォースアタックや対人間に効果的ですが、外出先など自宅以外からログインすることが多い場合はOFFがオススメです。
「XMLRPC防御」の設定方法
POINT
オススメ設定:ON(タイプはXMLRPC無効化にチェック)
wordpressの機能である、双方にリンクを貼るピンバック機能やそれを含むXMLRPC全体の無効化が可能です。
ほとんどのブルートフォースアタックやDoS攻撃は、XMLRPC経由で行われるので、無効化することで効果があります。
ただし注意書きに「XMLRPCを使ったプラグインやアプリが使用できなくなる」と書いており、
調べてみるとアンドロイドのwordpressアプリが利用できなくなります。
「更新通知」の設定方法
POINT
オススメ設定:ON(wordpressは有効、プラグインは無効、テーマは無効)
更新通知ですが、wordpress、プラグイン、テーマの更新があった場合にメールでお知らせしてくれる機能です。
やはり一番のセキュリティ機能は、最新版にしておくことなので、通知はONにしておくのがオススメです。
ただし現在は、wordpress側からの自動更新や通知もあり、すべてONにする必要はありません。
下記でまとめましたが、「wordpressの更新」だけ有効で十分です。
- wordpressの自動更新はマイナーアップデートのみなので更新通知有効がオススメ
- プラグインは自動更新が可能なので無効もしくはアクティブで十分
- テーマは公式テーマのみ有効なので無効で十分
「WAFチューニングサポート」の設定方法
POINT
オススメ設定:OFF(各サーバーによっては別途設定)
レンタルサーバーにJP-Secureが提供するWAF ( SiteGuard Lite ) が導入されている場合にWAFチューニングサポートを利用出来ます。
- GMOクラウド
- さくらインターネット
- ロリポップ
- お名前.comレンタルサーバー
- カゴヤ
設定や追加ルールについては各サーバーサイトを確認ください。
「詳細設定」の設定方法
POINT
オススメ設定:リモートアドレス(特に設定を変更の必要なし)
「ログイン履歴」の設定方法
設定したブログのログイン経歴が確認出来ます。
最大で1万件まで記録可能で、検索で、ロックや失敗など不正アクセスだけを割り出すことも可能です。
マメボーsiteguard wp pluginで404エラー、ログイン出来ないときの対処方法
siteguard wp pluginは、強力なセキュリティ機能により不正アクセスを防げますが、時として自分が締め出されてしまうことがあります。。。
使い方を間違わなければ、そうそう起こりませんが、そうなったときに対処方法を知っていれば冷静に行動できます。
今は、「そんなこともあるんだ~」程度で十分なので、覚えておくと役にたちます。
特にエラーで焦る原因は、下記2つです。
- ログインページがわからない、見当たらない
- ログインしたら404エラーで、ダッシュボードに入れない
それでは1つ1つ解説していきます。
wordpressのログインできない。ログインページがわからない。
ログイン出来ない理由
ログインページ変更でURLが変更されたため
SiteGuard WP Pluginを有効化すると、設定していなくても「ログインページ変更」機能によりURLが変更されます。
また一度停止して再有効化しても変更されるので、確認しておかないと気がついたら変更されていた。。。ってこともあります。
ログインできれば中を確認できますが、ログインできなくなったら焦りますよね。。。
でも、大丈夫です!確認する方法があります。
「.htaccess」ファイルの中に答えがある
もしログインできなくなってもサーバー内にある「.htaccess」の中にログインURLが書かれているので落ち着いて確認しましょう。
「.htaccess」は、FTPツールなどを使えば簡単にサーバー内部をチェック出来ます。
FFFTPの設定はこちらを参考にしてください。
FFFTPが今一わからない方のほとんどが、ホストの設定方法では無いですか?そんな方のためにインストールマニュアルとロリポップorエックスサーバー別に設定方法を説明します。
FFFTPツールを使って、サーバーを覗きwordpressの中にあるファイルを確認しましょう。
WordPressの中にある「.htaccess」ファイルを探します。(※wp-adminと同じ階層にあります。)
ダウンロードした「.htaccess」を編集する
ダウンロードした.htaccessをテキストエディタなどで開いてください。
.htaccess内はいろいろと書かれていますが、どこかの行に「login_*****」って書いています。
今回の場合のURL例:https://URL.com/wp-login_12345
.htaccessの編集が終わったら再度保存して元の場所にアップロードして上書きします。
これで作業は終了です。
.htaccessに関しては、レンタルサーバーの管理画面からも確認できる場合もあります。
FFFTPが苦手な方はレンタルサーバー経由で確認しましょう。
ログインしたら404エラーでダッシュボードに入れない
ログイン出来ない理由
「管理ページアクセス制限」によってログイン制限がかかってしまった
SiteGuard WP Pluginの「管理ページアクセス制限」をONにしたことでIP制限がかかってしまったためです。
主に24時間以上ログインせずに、ログインページURL以外からアクセスしたことが考えれます。
本来は、どの内部ページにアクセスしてもログイン画面に転送されるので気が付きませんが、「管理ページアクセス制限」により404エラーで返されるようになります。
一瞬、ブログごと壊れた感じに見えてパニックになりますが、これも.htaccessを覗けば問題はないので落ち着いて対処しましょう。
ダウンロードした「.htaccess」を編集する
上記の「ログイン出来ないとき」で説明した手順と同じで「.htaccess」をダウンロードしてテキストエディタなどで開きます。
「.htaccess」のテキスト部分の上記の赤枠部分を全部消します。
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^404-siteguard – [L]
RewriteRule ^wp-admin/css – [L]
RewriteRule ^wp-admin/images – [L]
RewriteRule ^wp-admin/admin-***\.php – [L]
RewriteRule ^wp-admin/load-***\.php – [L]
RewriteRule ^wp-admin/site-***\.php – [L]
RewriteCond %{REMOTE_ADDR} !^***\.***\.***\.***$
RewriteCond %{REMOTE_ADDR} !^***\.***\.***\.***$
RewriteCond %{REMOTE_ADDR} !^***\.***\.***\.***$
RewriteCond %{REMOTE_ADDR} !^::1$
RewriteRule ^wp-admin 404-siteguard [L]
</IfModule>
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
この部分をごっそり消してください。
文字がいっぱい書いてあってわからない場合は、下記の全部を消しても良いです。
#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
から
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
#SITEGUARD_PLUGIN_SETTINGS_END
までの全文を消します。
.htaccessの編集が終わったら再度保存して、元の場所にアップロードして上書きします。
とりあえず、この作業で再ログインが可能になります。
SiteGuardの機能を強制的に停止させたので、再度ダッシュボードから設定を見直しましょう。
マメボーセキュリティ対策プラグインSiteGuardのまとめ
マメ子 マメボー今回は、ご紹介した「SiteGuard WP Plugin」は機能が多く、かなり優秀なのががわかったと思います。
ただし、、このプラグインだけに頼るのは危険です!
ボットや無差別攻撃には対応できますが、やはりガチのハッカーに直接狙われたら、どうしようもありません。。。
「えーじゃー意味がないじゃん・・」って思ってしまいますが、しっかり対策すれば時間稼ぎは出来ます。
- SiteGuardをしっかり機能させる
- wordpressは常に最新版にする
- パスワードは英数字、大文字を含め8文字以上にする
を徹底して対処していきましょう。
特にパスワードは、英数字6文字なら30分で解読されますが、英数字大文字記号の8文字なら50年かかるそうです。
時間さえ稼げれば、必ずレンタルサーバーから「不審な動きあり」で連絡が来ますし、IPアドレスの完全遮断やサーバー側で対処出来ます。
「プラグイン入れているから大丈夫~」って怠らずにSiteGuard はあくまで1つの対策としてセキュリティ対策を考えていきましょう!
以上、「不正アクセスやコメントスパムのセキュリティ対策はSiteGuardが最強!」でした。
最後まで読んでいただきありがとうございます。
