自分のWordPressブログに不正ログインがあったらどうしよう……
そんな心配はありませんか?
仮に悪意のある人に、自分のWordPressがログインされてしまうと
ユーザー名やパスワードを変更されてしまう(ログインできなくなる)
記事内容やサイト内を改ざんされてしまう
不正プログラムの埋め込み
個人情報の不正取得
などが起きる可能性があります。
そんな心配を解決してくれるのが「SiteGuard WP Plugin」というWordPressのセキュリティ対策プラグインです。
「SiteGuard WP Plugin」を使うと次のような利点があります。
WordPressのログインURLを変更できる
繰り返しログインを試みる攻撃を防ぐことができる
ひらがなの画像認証があるので、ひらがなを知らない海外の人は攻撃しにくい
今回は「SiteGuard WP Plugin」のインストールから使い方までを分かりやすく説明します。
SiteGuard WP Pluginをインストールしよう
「SiteGuard WP Plugin」をインストールするには、
メニューの「プラグイン」→「新規プラグインを追加」をクリックします。
プラグインを探す検索窓に「SiteGuard WP」と入力すると「SiteGuard WP Plugin」が出てくるので「今すぐインストール」を押します。
インストールが完了したらプラグインの「有効化」を押します。
レンタルサーバーによってはWordPressをインストールすると「SiteGuard WP Plugin」も一緒にインストールされている場合もあるから、その場合は「有効化」だけ押してね!
「SiteGuard WP Plugin」を有効化すると、特に設定することなしに一部のセキュリティ機能が有効になります。
たとえば、ログインロックが有効になったり、ログインURLが変わります。
ひらがなによる「画像認証」機能も追加されて、ひらがなを知らない海外の人はサイトを攻撃しにくくなります。
ここからは、それらの機能の設定方法を説明します。
SiteGuard WP Pluginの設定方法
ログインロックの設定
「ログインロック」って何?
「SiteGuard WP Plugin」のログインロックは、あなたのWordPressをブルートフォース攻撃(総当たり攻撃)から守ってくれます。
ブルートフォース攻撃(総当たり攻撃)は、ユーザー名(ID)を予想した上で、パスワードを1文字ずつ変えてログイン突破を試みる攻撃です。
もしユーザー名(ID)がバレてしまうと突破される可能性はさらに高くなります。
ろくでもない攻撃だな。
しかしブルートフォース攻撃は「下手な鉄砲も数打ちゃ当たる」的な攻撃なので、鉄砲を繰り返し撃たせないことによって防御が可能です。
その防御システムが「SiteGuard WP Plugin」のログインロックです。
ログインロックの設定は、メニューの「SiteGuard」→「ログインロック」をクリックします。
「SiteGuard WP Plugin」を有効化した時点でログインロックはすでに「有効」になっていて、
デフォルトではユーザー名(またはメールアドレス)とパスワードを「5秒以内に3回間違えたら1分間ロックする」という設定になっています。
つまり5秒以内にユーザー名とパスワードを3回間違えると1分間はログインを試せなくなります。
ログインロックはブルートフォース攻撃にかなり有効な防御手段ですが、もっと強めに設定したい方は
「30秒以内に3回間違えたら5分間ロックする」に変更しましょう。
新しいログインページURLの確認方法
「SiteGuard WP Plugin」を有効化すると、自動的にログインURLが変わります。
「SiteGuard WP Plugin」を入れる前のログインURLは
https://あなたのドメイン/wp-dmin/
でしたが、「SiteGuard WP Plugin」を入れた後のログインURLは
https://あなたのドメイン/login_5桁の数字/
に変わっています。
新しいログインURLは「新しいログインページURL」を押すと分かります。
今後はこのURLでWordPressにログインするので、忘れずにブックマークしておきましょう。
新しいログインURLは「WordPress: ログインページURLが変更されました」という件名で、メールのお知らせも来ます。
もし来なかったら、迷惑メールフォルダも見てみてね!
ただし、この時点では今までの
https://あなたのドメイン/wp-dmin/
でもログインが可能です。
第3者がこのURLにアクセスできないようにするには、次の設定を行います。
メニューの「SiteGuard」→「管理ページアクセス制限」をクリックします。
管理ページアクセス制限を「有効」にして「変更を保存」を押します。
これで24時間以内にログインがないIPアドレスから
https://あなたのドメイン/wp-dmin/
にアクセスしても管理ページが表示されずに「404 Not Found」が表示されるようになります。
一度ログインすると同じIPアドレスから24時間以内であれば
https://あなたのドメイン/wp-dmin/
でもログインできますが、
たとえばIPアドレスがコロコロ変わるスマホの場合は24時間以内でも「404 Not Found」が表示されることもあります。
上記URLで自分のサイトにログインできない場合は新しいログインURLの
https://あなたのドメイン/login_5桁の数字/
からログインします。
ログインページURLの変更方法
そして新しいログインURLは変更することも可能です。
WordPressのログインURLを変更するには、「SiteGuard」→「ログインページ変更」をクリックします。
「login_5桁の数字」を任意の文字列に変更して「変更を保存」を押します。
ログインURLを変更したらブックマークしたURLも忘れずに変更してね。
ログインページを変更するとメールも届きます。
画像認証機能の設定
「SiteGuard WP Plugin」を有効化すると、ログインする際に「画像認証」が追加されます。
画像認証は、表示されている文字と同じ文字を枠の中に入力します。
画像認証は「ひらがな」を使うと、海外のひらがなを知らない人はサイトを攻撃しにくくなります。
また、自動攻撃に使われる「ボット」も画像認証の文字は識別できません。
画像認証は「英数字」も使用できますが、特に問題がなければ「ひらがな」のまま変える必要はないでしょう。
画像認証の設定方法は「SiteGuard」→「画像認証」をクリックします。
デフォルトで画像認証は「有効」になっていますが、「無効」にしたり「英数字」を使うことも可能です。
自分のログインページURLを忘れてしまった場合
WordPressのログインURLを変更して「新しいURLを忘れてしまった!」という場合は
レンタルサーバーの「.htaccess」を見るとログインURLを確認することができます。
たとえばエックスサーバーの場合だと、トップページの「サーバー管理」をクリックします。
エックスサーバーの「サーバー管理」のボタンのあるページは、「サービス管理」→「レンタルサーバー」を押すと出てくるよ。
「.htaccess編集」をクリックします。
「.htaccess」を編集するドメインを選択して
「.htaccess編集」を押します。
すると「.htaccess」の中に、ログインURLのスラッグ(URLのお尻の部分)が記載されています。
この場合は「login_57566」がログインURLのスラッグだよ。
あとは、https://あなたのドメイン/login_57566/のように入力すれば、WordPressのログインページにアクセス可能です。
最後に
お疲れ様でした。
「SiteGuard WP Plugin」は、入れないよりは入れた方がかなり安心のプラグインです。
「SiteGuard WP Plugin」を使って、WordPressブログのセキュリティを高めておきましょう。
コメント