wordpressスマホ対応サイト・wpプラグイン・検索体験最適化・SNS・ 動画・bgmやテーマ曲を駆使して、リアルビジネスへの集客を達成するためのコラム!

   

wordpress屋のマルチメディアコンテンツ制作読んどけ☆コラム

【wpプラグイン】SiteGuard WP Pluginってどんな風にセキュリティに強くなるの?

      2018/04/04

こんにちは、管理人@SS_mshpです。

今回は、サイト乗っ取りとか不正ログインみたいなリスクを減らせそうなワードプレスのプラグインを使ってみます。

利用するのは『SiteGuard WP Plugin』(使いたいときはプラグイン新規追加画面でこの名前をいれます)。

■SiteGuard WP Pluginの主な機能や注意点

■SiteGuard WP Pluginの主な機能


インストールしてみた例です。主要な機能一覧はこんな感じで出ます。『アクセス制限』や『画像ページ認証』などといったわかりやすいものから、細かくカスタマイズ(機能のON/OFFの切替と、ファイル種類などの除外ルールの登録など・WAFチューニングサポート)できるものまでが入っています。

■『ログインできなくなる』というケースが報告されている

FAQログインできなくなりました。
https://www.jp-secure.com/siteguard_wp_plugin/faq/

プラグイン開発会社の公式サイトにもあるとおり、設定のやりかたしだいでは『ログインできなくなる』という事例が報告されていますので、これは事前に押さえておきたいポイントです
特に『管理ページアクセス制限』などで出る模様。直接htaccessファイルを書き換えたり、プラグインフォルダからsiteguardカットなど、対処ができます。

■SiteGuard WP Pluginの各機能がどんな働きをしているか検証

ここでは、SiteGuard WP Pluginが実際にガードした挙動を見て、どのようにセキュリティに強くなるのかをチェックしてみます。全部機能ではないですが、主に使われそうなものをピックアップします。

■ログインページ変更で、複雑なurl&wp-login.phpで404返す

ワードプレスは構造上ログインページの形式やurlがバレやすい(wp-login.php)ので、『ランダムな数字が入ったログインページ』にして、場所をわかりにくくします。


また、いつものログインページ『ドメイン○○○○/wp-login.php』で入ったときには404ステータスコード(ファイル・ページがありません)を返してくれます。

■画像認証


ネットのログインフォームでよくある、画像認証を搭載することもできます。おそらく数年後には、ハッキンググループやスパム流してる集団が、かんたんなひらがな画像認証を突破できるAIを開発できるようになるかもしれないので、それまでは効果があります。

■ログインロックで、総当り攻撃を耐え切る


ネット銀行などでも使われる機能です。ここでは『30秒間に3回、ログイン失敗したら、5分間ログインロック』という設定をしました。この回数を超えると、画像のようにロックがかかって入れなくなります。

簡単なパスだと、文字列を何回も組み合わせを変えてやっていると、突破される可能性があります(ブルートフォース攻撃など)。しかしここで止めてしまえれば(&そのときの不正なアクセスを検知できれば)、入られるまえに対策できそうです。

■ログインアラートで、ログインがあったときはメール通知


これはログインがあったことをメールでお知らせする機能です。自分・または他の作業者がログインしてメールが来る場合は問題ありません。『自分がログインしてない・しかも他の人にサイトの変更を頼んでないのに、ログイン通知が来た』などの場合は、『入られたかも』と察知することができます。

■あとがき・まとめ

  • ログインできなくなるケースを押さえておく
  • ログインページ変更・ロック・アラートなどである程度の攻撃は耐えられそう
  • これだけで100%安全ではないので、複雑パスワードやパーミッションなども組み合わせる
  • また、本体やプラグインで、あまり古すぎるのは使わない(脆弱性が修正されてないことがある)

といったところでしょうか。設定自体はわりとカンタンなので、ワードプレスのセキュリティ力を上げたいときは、取り入れたいプラグインです。

*お問い合わせフォームページに移動します。webリニューアル・ロゴ・記事・wordpress化などでお力添えできます。

■LINEできいてみる(アカウントがある方)

(タップ・またはqrでアプリを起動してください。回答できる内容には限りがありますが、なにか課題解決のきっかけができるかもしれません。)


【カテゴリ】 - wordpressプラグイン(拡張)情報 【タグ】 -

Message

メールアドレスが公開されることはありません。

  関連記事

【wpプラグイン】ワードプレスサイトで、スマホアクセス時だけ軽量テーマに切り替える方法

今回は、スマホでみるとワードプレスサイトがちょっと重い件について対策して …

【WPプラグイン】ページ読み込み画面(ローディングアニメ)をサクッと実装できるWP Smart Preloader

今回は、wordpressのサイトで、ページ読み込み時の画面(ローディン …

【wpプラグイン】ワードプレスサイトに、スマホで電話機能をつけられる『Really Simple Click To Call』

今回は、スマホで電話する機能を、ワードプレスサイトに実装できるプラグイン …

【phpでWPプラグイン改造】What’s New Generatorで、記事タイトル文字数を設定する

今回は、ワードプレスサイトでよく使われる更新情報表示プラグイン『What …

【PHPでwpプラグインを改造】all in one seoで、og:descriptionを書かなかったときに、文章が全部出力されてしまうのを直したい

今回は、ワードプレスでよくつかわれるプラグイン『all in one s …

【WPプラグイン】月額無料でレストラン・カフェなど飲食店の予約に使える『Restaurant Reservations』

今回は、飲食店でワードプレスサイトを持ったときに効果を発揮する、月額無料 …

【WPプラグイン・サイト高速化】EWWW Image Optimizerで、画像をサクッと圧縮して表示を速くしよう

今回は、サイトの高速化で、画像を圧縮してくれるものを試します 画像サイズ …

ワードプレスサイトを、プラグインでサクッとSSL化する方法

今回は、セキュリティの観点からも重要なサイトSSL(暗号化接続)を、ワー …

ブログ型ワードプレスサイトの強力武器~更新情報を確実に伝えるping Optimizer

今回は、地味だけど重要な『ping送信』を、確実にワードプレスサイトに実 …

ワードプレスサイトに、コメント機能を実装しない/非表示に

今回は、ブログサイトによくある『コメント機能』を、実装しない方法を考えて …