※記事内に商品プロモーションを含む場合があります
まるでホームセキュリティをやっているかの様に
プラグインをインストール・有効化するだけでハッキングの
可能性を低減出来るプラグインの紹介。
SiteGuard WP Plugin
インストールは管理画面にプラグインから
新規追加でSiteGuard WP Pluginと検索すれば出てくるので
インストール出来ます。
利用出来る機能は以下の様です。
SiteGuard WP Pluginで利用できる機能
管理ページアクセス制限
管理ディレクトリ/wp-admin/をログインしていない接続元から
アクセスがあった場合404エラーを返す機能です。
でも、ログインしてない時はwp-login.phpにリダイレクトされるので
あまり必要には感じません。
ログインページ変更
通常は/wp-login.phpがログインページですが、
これを変更する事で、不正ログイン攻撃を受けにくくする機能です。
ただし、環境によってはログインページが表示されないなどのエラーが。
私のプラグインなどの開発テスト用環境にインストールして有効化してみましたが、
見事に404エラーが発生しました。
ログインページで404エラーが出た時の解決方法は
.htaccessファイル内の
#SITEGUARD_PLUGIN_SETTINGS_START
から
#SITEGUARD_PLUGIN_SETTINGS_END
までの間を削除すれば、元の/wp-login.phpに戻るハズです。
このブログでは海外から/wp-login.phpへのアクセスを遮断しているので
httpのログを見ると403エラーページに飛ばされている様です。
【関連】WordPressの不正ログインを防ぐ為設定をしてみた
画像認証
ログインページでIDとパスワード入力する時にCAPTCHAが表示され
画面に表示された文字列を正しく入力しないとログイン出来ません。
表示される文字列は英数字かひらがなが選べます。
ハッカーは外国人が多いのでひらがなの方が読めないので良いでしょう。
しかし、私のテスト環境では
この機能を使用するには、httpd.confのAllowOverrideにLimitを指定する必要があります。
と表示され使えませんでした。
ログイン詳細エラーメッセージの無効化
通常パスワードが違えばパスワードが違うと表示され
IDが違えばIDが違うと表示されます。
しかし、セキュリティ的にはパスワードが違うと表示された場合
IDが存在する事になり、総当り攻撃をすればログイン出来る可能性もあります。
この機能はIDかパスワード何が間違っているのかを隠すことで
不正なログインを防ぐ効果があります。
ログインロック
ログイン失敗を繰り返すと一定期間、同じアクセス元(IP)からの
ログインをブロックする機能。
ロックされる時間は、30秒 ・1分 ・5分から選択出来ます。
この機能は総当り攻撃(ブルートフォースアタック)では次々に
違うパスワードでログインを試すので、特に有効です。
ログインアラート
この機能はワードプレスに誰かがログインした時に
メールで通知する機能。
多くの通知は自分のログインに対する通知ですが
万が一、不正ログインが出来てしまった場合により早く
不正ログインに気付く事が出来ます。
フェールワンス
1回目のログインが必ず失敗する機能。
5秒以降、60秒以内に正しいログイン情報を入力するとログインに成功します。
攻撃者が何らかの方法で入手したIDとパスワードのリストによるリスト攻撃を
受けにくくする様です。
まとめ
初心者の方は簡単にセキュリティ対策が出来るのでオススメなプラグイン。
こちらのサイトによるとロリポップ、レンタルサーバーからインストールの要請が来るほど
このブログでは海外から/wp-login.phpへのアクセスができないので
インストールするほどの魅力は無いと思います。
今後、導入したいのは2段階認証。
Googleアカウントでは導入済みですが、今後ワードプレスにも導入するかもしれません。