最新セキュリティー対策プラグイン　SiteGuard WP Plugin　WordPress　2016年

　非常に許しがたい事で憤りを感じますが、WordPress(ワードプレス)のサイトへの不正アクセスが多発しています。(私のサイトにですが、このサイトではありません。)

　普段、あまりアクセスログなどは確認していないのですが、なんか転送量が最近増えているな？と思い、確認してみましたら、adminだけが突出してアクセスが多くなっていました。

　間違えなく、WordPressの管理画面へのログインを突破しようとしてるものと感じました。
　※各画像はクリックすると拡大します。

　そこで、Crazy Bone　と言う、日本人の方が公開なさっているプラグインを入れて、数日確認しましたら、1日に100回以上も、ログインを試みている形跡があるではないですか？
　しかも、ロシア・フランス・アメリカ・カナダ・ウクライナ・メシキコなど、あらゆる各国から不正アクセスがあります。

　本当にひどいですよね。
　このような無用なアクセスがなければ、世界中のインターネット回線の負荷も大きく減ると言われていますし、許せません。

　とは言え、実害もない以上、警察も動いてくれないですから、泣く泣く自分で対策を講じるしかありません。
　できれば、余計なプラグインなど増やしたくありませんし、そんな時間があったら、もっと他の事に有益に使えますから、無駄な作業となり怒り心頭です。しかし、頑張りました。

　色々と調べて見ましたら、SiteGuard WP Plugin と言うセキュリティー専用プラグインが、非常によさそうですので、当方のWP全サイトに導入致しました。

SiteGuard WP Plugin

　2014年10月24日から提供開始された、2015年度としても最新の無料プラグインです。
　また、日本製(国産)プラグインですので、管理画面も日本語でわかりやすいです。
　しかも、レンタルサーバーで有名な「さくらインターネット」さんも、このプラグイン製作元のセキュリティ対策を導入しているくらいですので、信頼性もバツグンです。
　と言う事で、ほんと、国産のプラグインは素晴らしいですよね？
　もっと、色々な分野でも国産プラグインが出て切る事を期待したいと思います。

　さて、インストール完了すると、初期設定(デフォルト)では、いつもログインするためのURLが、すでに変更になっています。

　控え忘れますと、ログインするときのURLがわからなくなってしまいますので、先にメモをするなど、控えることを忘れずに対応しておきましょう。

　万が一、わからなくなってしまった場合は、プラグインのシステムから自動で最初、メールが届いていると思いますので、そのメールは削除せずに残しておくと良いかと存じます。

　どうしても本当にログインできなくなってしまった場合は、プラグインの提供元である、JP-Secureさんのホームページに解決法が掲載されています。
　この点、日本の企業さんですので、説明もわかりやすく非常にありがたいですよね。
　ただし、作業は大変なので、極力、最初の段階できちんと対応しておきましょう。

　上記が、SiteGuardの管理画面です。
　設定方法(使い方)も各項目を設定して保存を押すだけですので、簡単です。

・管理ページアクセス制限

　ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守ります。
　私の場合は、まずはデフォルトのままで様子を見る事にしました。

・ログインページ変更

　ログインページ名（URL）を変更します。
　これは、上記でも触れましたが、デフォルトのままで変更処置を有効としました。

・画像認証

　ログインページ、コメント投稿に画像認証を追加します。
　すなわち、ログイン画面だけでなく、コメント投稿の画面などにも、画像認証を導入できると言う多機能になっています。
　このサイトでもコメント欄に採用しています。
　よくありがちな「英数字」だけでなく「ひらがな」認証も設定可能なので、悪意ある外国人対策としてはもってこいです。
　このあたり、国産プラグインですので、ありがたいところですね。

　コメント欄のひらがな画像認証は非常に有効でして、外国からのスパム対策にもなります。

　通常のサイトは問題なかったのですが、私の場合は、cloudflare を使用しているサイトが一部ありまして、その場合、キャッシュが働いてしまい、画像認証の「画像」が表示されない現象が発生しました。
　もちろん、直接サーバーにアクセスが行った時は表示さるのですが、アクセス分散している他の国のサーバーに繋がった際には、画像が表示されませんので、その場合のサイトにおいては、画像認証をOFFにせざるをえませんでした。
　ただし、ログイン画面のURLが変更されていて、短時間のログインロック機能が有効なだけでも、かなり効果があるはずですので、cloudflare 使用中のサイトにおいては、画像認証はOFFで様子を見ています。

・ログイン詳細エラーメッセージの無効化

　ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
　これもデフォ設定のままにしました。

・ログインロック

　ログイン失敗を繰り返す接続元を一定期間ロックします。
　この機能は有効ですね。
　上記の不正アクセスログ画像でもわかるように、1秒単位で連続アクセスしてきた場合などにブロックできます。

・ログインアラート

　ログインがあったことを、メールで通知します。
　複数のログイン者がいる場合などには重宝すると存じます。
　私はOFFにしました。

・フェールワンス

　正しい入力を行っても、わざとログインを1回失敗します。
　自分だけがログインするのであれば、有効ですね。
　ただ、自分がログインするのに余計な時間も掛かるので、今回はそこまでせずにして様子を見ています。

・ピンバック無効化

　ピンバックの悪用を防ぎます。
　これは、ビンバックを使用したアクセス負荷攻撃を受けた際に有効ですね。
　私は、今の所、ピンバック攻撃の兆候はなく、またできればSEO上、ピンバック受けたいので機能OFFです。

・通知機能

　WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
　あまり普段、ワードプレスの管理画面に入る事がない方は有効ですね。
　私は、毎日管理画面に入り、更新情報などは把握しているため、機能OFFにしました。

・WAFチューニングサポート

　WAF (SiteGuard Lite)の除外ルールを作成します。
　ここまではまだ良いかな？と思い、機能OFFです。

　もし、未だに、ログイン名を　admin　や　root　、 test　などお使いの場合には非常に危険ですので、その場合には、ログイン名じたいを早急に変更なさることをお勧め致します。

SSL環境の場合

　WordPressをSSL化している場合でも、サイトガードは機能します。使えます。
　ただし、SSLを強制的に行うようなプラグイン(例:Really Simple SSL、WordPress HTTPS)を使用している場合には、干渉してしまい、画像認証が使えない事を確認しています。
　使用できない場合には、プラグインの干渉問題かと存じますので、今後のバージョンアップに期待です。

　なお、上記例のプラグインを使っていないSSL化サイトでは、正常にSiteGuard WP Pluginが使用できていることも確認しています。
　例えば、wpXクラウドの無料SSL化を使用して、サイトを常時SSLにした場合、SSL用のプラグインを使う必要が無いので、サイトガードが機能していますこと、ご報告申し上げます。