SiteGuard WP PluginはWordpressのセキュリティ面を強化できるプラグインです。このプラグインを使用してWordpressの管理画面への不正ログインへの対策をします。
SiteGuard WP Pluginをインストールする
まずはプラグイン>新規追加からSiteGuard WP Pluginを検索してインストールしてください。
管理ページアクセス制限をONにする
SiteGuardのメニューから「管理ページアクセス制限」を開きます。
ON OFFとあるのでONの状態にしましょう。(デフォルトはOFFの状態になっています。)
こちらをONにすることでログインしていないIPアドレスからのwp-admin以降のページへのアクセスをブロックします。また、24時間たつとログインの記録が消えて再度IDとパスワードの入力を求めるようになります。
よく分からない方はONにしておいけば間違いないです。
ログイン画面のURLを変更する
WordPressのログイン画面はデフォルトだとサイトのアドレスの後に/wp-adminや/wp-login.phpと追記すると簡単にアクセスすることができます。
不正ログインのリスクを減らすためにも管理画面のURLを変更してセキュリティを強化しましょう。
SiteGuardのメニューから「ログインページ変更」を開きます。
「変更後のログインページ名」に任意の英数字、ハイフン、アンダーバーの文字列を入力してください。(ここで表記したページ名は後で忘れないように記録しておいてください。)
管理者ページからログインページへリダイレクトしないにチェックを入れます。これによりhttps://○○.com/wp-adminにアクセスされてもNot foundのページが表示されるだけになります。
上記が完了したら「変更を保存」をクリックします。
画像認証をONにする
画像認証とは画像上に書いてある歪んだ文字の入力を求める機能です。お問い合わせフォームとかで見たことがあるかもしれません。画像上のゆがんだ文字をプログラムで正確に読み込むことは難しいため、Botなどを利用した不正アクセスへの対策になります。
SiteGuardのメニューから「画像認証」を開き「ON」にします。(デフォルトでもONになっていると思います。)
ログインページやコメントページなどありますが全て「ひらがな」で問題ないと思います。ひらがなにしておけば海外からの不正アクセス対策にもなります。ただ、コメントページを海外の方にも開放したいという場合は「英数字」に設定した方がよいでしょう。
ログインロックで機械の不正ログインを受けにくくする
ログインロックではある期間内にログインを一定回数失敗すると接続元IPアドレスを一定時間ロックする機能になります。
こちらを設定しておくことでブルートフォースアタックや、リスト型攻撃といった数秒間にいろいろなIDやパスワードの組み合わせを試すタイプの不正ログインへの対策になります。
SiteGuardのメニューから「ログインロック」を開きます。
こちらはONになっていることを確認しておけば後はデフォルトの設定で問題ないと思います。時間を長く設定しておくほうがより効果的ではあります。
ここからはお好みで設定
セキュリティを高めるに越したことはないのですが以下からは個人的にはちょっとやりすぎかなと思うものです。ここから先で紹介するものはお好みで設定されてください。
ログインアラート
SiteGuardのメニューから「ログインアラート」を開きONにするだけです。
こちらはONにしておけばログインが行われるたびに管理者のメールアドレス宛にログインがあった旨のメールが届くようになります。
フェールワンス
SiteGuardのメニューから「フェールワンス」を開きONにするだけです。
こちらは正しいIDとパスワードを入れても一度はじかれる機能です。失敗して5秒後、60秒以内にIDとパスワードを入れるとログインできます。これを設定しておけばリスト攻撃などには確かに有効ですが、ちょっと面倒ですよね・・・。
まとめ
以上、SiteGuard WP Pluginを使った不正ログイン対策でした。不正アクセスを100%防御する方法というのは存在しません。ネット上にある限り不正アクセスのリスクは常にあります。しかし、対策をすることでリスクを減らすことはできます。
自分のサイトは大丈夫でしょとか思わずに(荒らされてからでは後の祭りです)できる限りの対策を行っておくとよいですね。