【SiteGuard WP Plugin】WordPress管理画面への不正ログインを防ぐ方法

この記事では、WordPress管理画面への不正ログインを防ぐ「SiteGuard WP Plugin」というプラグインについて解説しています。

もし、悪意を持った人に、あなたのWordPress管理画面にログインされてしまった場合、

これまでに作成した記事を削除されたり、あなたのWEBサイトの訪問者をウィルスに感染させたり、フィッシング詐欺サイトに誘導するようなプログラムを仕込まれてしまう可能性があります。

不正ログインを防ぐことは、WEBサイトを運用する上でとても大切なことです。

SiteGuard WP Pluginは簡単な設定で不正ログインを防ぐとこができる便利なプラグインです。

この記事では、SiteGuard WP Pluginのインストールから設定方法まで詳しく解説しています。

SiteGuard WP Pluginの概要

前述のとおり、SiteGuard WP PluginはWordPress管理画面への不正ログインを防ぐとこができるプラグインです。

SiteGuard WP Pluginの大きな特徴は以下の点です。

ログインページがわからなければ、そもそもログインすることができません。

また、ログインページにたどり着いたとしても、正しい入力をわざと1回はじくことで、不正なプログラムによるログインを回避できます。

そのほかにも画像認証やログイン通知など、様々な不正ログイン対策をすることができます。

SiteGuard WP Pluginのインストール

それではSiteGuard WP Pluginのインストールから行っていきましょう！

WordPress管理画面のメニューから「プラグイン」にカーソルを合わせ「新規追加」をクリックします。

画面右上の「プラグインを検索」に「SiteGuard WP Plugin」と入力します。

「今すぐインストール」をクリックします。

「有効化」をクリックします。

SiteGuard WP Pluginがインストールされ、さっそくログインURLが変更されました。

それでは、ここから設定の仕方をみていきましょう！

SiteGuard WP Pluginの設定

管理画面の左側のメニューから「SiteGuard」をクリックします。

こちらがSiteGuard WP Pluginの設定画面です。

チェックマークの右側の項目名をクリックすると設定変更することができます。

ここで解説するのは以下の11点です。

すべての設定を「ON」にしてもよいですが、細かな設定をすることもできるので、１つずつ見ていきましょう！

管理ページアクセス制限

ここでは管理ページへのアクセスを制限することができます。

WordPressの管理ページはドメインの後ろが「/wp-admin/～」となっています。

説明文にも書いてある通り、例えば「https://example.com/wp-admin/●●」といったURLにアクセスした場合、“404エラーページ”で返すようになります。

これは404エラーページ設定やファイルによって表示が変わりますが、例えば上図のような画面が表示されます。

この設定をすると、実際にページがないわけではないのですが、あたかもページが存在しないかのような挙動を示します。

通常はログインページにリダイレクトされてしまうので、セキュリティを高めたい場合は「ON」にしましょう。

除外パス

また、この設定から除外したいページがあれば、「除外パス」に「/wp-admin/」以降のパスを入力してください。

ログインページ変更

WordPressのログインページは通常「https://example.com/wp-login.php」です。

このままでは、WEBサイトのドメインの後ろに「/wp-login.php」と入力しアクセスすることでログインページが表示されてしまいます。

ここでは、これを回避するための設定ができます。

変更後のログインページ名

「変更後のログインページ名」にはデフォルトで「login_」から始まるパスが設定されていますが、自由に変更することができます。

オプション

「管理者ページからログインページへリダイレクトしない」にチェックを入れると、ログインしていない状態で「/wp-admin/●●」といった管理ページにアクセスした際に先ほどのような404エラーページを表示させることができます。

画像認証

以下の４つに対して、画像認証を設定します。

画像認証とは、画像で表示された文字と入力した文字の照合をするシステムです。

上記の４つは個別に設定でき、不要な箇所があれば「無効」にチェックをいれてください。

ログイン画面で見ると、このように表示されます。

不正プログラムによるログインを防ぐためにも設定しておきましょう。

ログイン詳細エラーメッセージの無効化

通常は、ログインに失敗すると、以下のようにその理由が表示されてしまいます。

しかし、こちらのログイン詳細エラーメッセージの無効化を「ON」にすると、以下のようにその理由が表示されなくなります。

ログインロック

こちらは設定の範囲内でログインに失敗した場合に、一定時間ログインができなくなるようにするものです。

たとえばデフォルトの設定の場合は、5秒以内に3回ログインミスをしたら、そこから1分間ログインができなくなるようになります。

この設定はデフォルトのままで問題ありません。

ログインアラート

こちらは不正ログイン対策ではなく、WordPress管理画面へのログインがあった際に、メールで通知するための設定です。

念のためこちらもONにしておくとよいでしょう。

フェールワンス

こちらは、正しいログイン情報を入力しても、1度ログインが失敗するようになる設定です。

説明文にもあるようにリスト攻撃に効果的です。

対象ユーザー

「管理者のみ」にチェックを入れると、管理者権限があるユーザーのみ対象になります。

XMLRPC防御

これには以下の2つのチェック項目があります。

ピンバック無効化

ピンバックとは外部のWEBサイトを参照（記事内にURLを貼るなど）した場合、その参照元のWEBサイトに通知することを言います。

ピンバックすることで、コミュニケーションを図ったり、相互リンクにつなげるなどSEO効果を生むためのアクションにもなるのですが、この機能を無効化できます。

XMRPCの無効化

XML-RPC（XMLプロトコル）は、XML形式のデータをHTTPで通信するための規則を言います。

主な用途としては、外部のデバイス（スマホアプリ）やメールでの記事の更新などする際に、この形式を用いたりします。

更新通知

WordPress、プラグイン、テーマに対して新しいバージョンがあれば通知してくれる機能です。

それぞれ、無効・すべてのプラグイン・アクティブなプラグインのみから選択できます。

説明にも記載がありますが、「セキュリティの基本は、常に最新のバージョンを使用すること」です。

日々、WordPress管理画面にログインしている場合は不要ですが、そうでない方は更新通知を有効にしておきましょう。

WAFチューニングサポート

これは、SiteGuard WP Pluginを提供してくれているJP-Secureさんの「SiteGuard Server Edition」をサーバーにインストールしている場合に使用します。

そうでない場合はここの設定は無視してかまいません。

詳細設定

ここでは送信元のIPアドレスの取得方法を設定できます。

IPアドレスの取得方法

「X-Forwarded-For」というのがレベル別に３つありますが、デフォルトの「リモートアドレス」のままで大丈夫です。

X-Forwarded-For（XFF）とは、ロードバランサーやプロキシサーバーを経由したことで送信元のIPアドレスが分からない場合でも、HTTPのヘッダーフィールドから送信元のIPアドレスを特定するものです。

SiteGuard WP Pluginの各設定の解説は以上です！

まとめ

今回はWordPress管理画面への不正ログインを防ぐ「SiteGuard WP Plugin」というプラグインについて解説しました。

悪意を持った人にWordPress管理画面にログインされると、これまでに作成した記事を削除されたり、WEBサイトの訪問者をウィルスに感染させるようなプログラムを仕込まれてしまう可能性があります。

WordPress管理画面への不正ログインをされないようにしっかりと対策しましょう！