最新セキュリティー対策プラグイン SiteGuard WP Plugin WordPress 2016年

wordpress


 非常に許しがたい事で憤りを感じますが、WordPress(ワードプレス)のサイトへの不正アクセスが多発しています。(私のサイトにですが、このサイトではありません。)

 普段、あまりアクセスログなどは確認していないのですが、なんか転送量が最近増えているな?と思い、確認してみましたら、adminだけが突出してアクセスが多くなっていました。

 間違えなく、WordPressの管理画面へのログインを突破しようとしてるものと感じました。
 ※各画像はクリックすると拡大します。

 不正ログイン

 そこで、Crazy Bone と言う、日本人の方が公開なさっているプラグインを入れて、数日確認しましたら、1日に100回以上も、ログインを試みている形跡があるではないですか?
 しかも、ロシア・フランス・アメリカ・カナダ・ウクライナ・メシキコなど、あらゆる各国から不正アクセスがあります。

 本当にひどいですよね。
 このような無用なアクセスがなければ、世界中のインターネット回線の負荷も大きく減ると言われていますし、許せません。

 とは言え、実害もない以上、警察も動いてくれないですから、泣く泣く自分で対策を講じるしかありません。
 できれば、余計なプラグインなど増やしたくありませんし、そんな時間があったら、もっと他の事に有益に使えますから、無駄な作業となり怒り心頭です。しかし、頑張りました。

 色々と調べて見ましたら、SiteGuard WP Plugin と言うセキュリティー専用プラグインが、非常によさそうですので、当方のWP全サイトに導入致しました。



SiteGuard WP Plugin

 2014年10月24日から提供開始された、2015年度としても最新の無料プラグインです。
 また、日本製(国産)プラグインですので、管理画面も日本語でわかりやすいです。
 しかも、レンタルサーバーで有名な「さくらインターネット」さんも、このプラグイン製作元のセキュリティ対策を導入しているくらいですので、信頼性もバツグンです。
 と言う事で、ほんと、国産のプラグインは素晴らしいですよね?
 もっと、色々な分野でも国産プラグインが出て切る事を期待したいと思います。

 さて、インストール完了すると、初期設定(デフォルト)では、いつもログインするためのURLが、すでに変更になっています。

 控え忘れますと、ログインするときのURLがわからなくなってしまいますので、先にメモをするなど、控えることを忘れずに対応しておきましょう。

 万が一、わからなくなってしまった場合は、プラグインのシステムから自動で最初、メールが届いていると思いますので、そのメールは削除せずに残しておくと良いかと存じます。

 どうしても本当にログインできなくなってしまった場合は、プラグインの提供元である、JP-Secureさんのホームページに解決法が掲載されています。
 この点、日本の企業さんですので、説明もわかりやすく非常にありがたいですよね。
 ただし、作業は大変なので、極力、最初の段階できちんと対応しておきましょう。

 siteguard

 上記が、SiteGuardの管理画面です。
 設定方法(使い方)も各項目を設定して保存を押すだけですので、簡単です。

・管理ページアクセス制限

 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
 私の場合は、まずはデフォルトのままで様子を見る事にしました。

・ログインページ変更

 ログインページ名(URL)を変更します。
 これは、上記でも触れましたが、デフォルトのままで変更処置を有効としました。

・画像認証

 ログインページ、コメント投稿に画像認証を追加します。
 すなわち、ログイン画面だけでなく、コメント投稿の画面などにも、画像認証を導入できると言う多機能になっています。
 このサイトでもコメント欄に採用しています。
 よくありがちな「英数字」だけでなく「ひらがな」認証も設定可能なので、悪意ある外国人対策としてはもってこいです。
 このあたり、国産プラグインですので、ありがたいところですね。

 コメント欄のひらがな画像認証は非常に有効でして、外国からのスパム対策にもなります。

 通常のサイトは問題なかったのですが、私の場合は、cloudflare を使用しているサイトが一部ありまして、その場合、キャッシュが働いてしまい、画像認証の「画像」が表示されない現象が発生しました。
 もちろん、直接サーバーにアクセスが行った時は表示さるのですが、アクセス分散している他の国のサーバーに繋がった際には、画像が表示されませんので、その場合のサイトにおいては、画像認証をOFFにせざるをえませんでした。
 ただし、ログイン画面のURLが変更されていて、短時間のログインロック機能が有効なだけでも、かなり効果があるはずですので、cloudflare 使用中のサイトにおいては、画像認証はOFFで様子を見ています。

・ログイン詳細エラーメッセージの無効化

 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
 これもデフォ設定のままにしました。

・ログインロック

 ログイン失敗を繰り返す接続元を一定期間ロックします。
 この機能は有効ですね。
 上記の不正アクセスログ画像でもわかるように、1秒単位で連続アクセスしてきた場合などにブロックできます。

・ログインアラート

 ログインがあったことを、メールで通知します。
 複数のログイン者がいる場合などには重宝すると存じます。
 私はOFFにしました。

・フェールワンス

 正しい入力を行っても、わざとログインを1回失敗します。
 自分だけがログインするのであれば、有効ですね。
 ただ、自分がログインするのに余計な時間も掛かるので、今回はそこまでせずにして様子を見ています。

・ピンバック無効化

 ピンバックの悪用を防ぎます。
 これは、ビンバックを使用したアクセス負荷攻撃を受けた際に有効ですね。
 私は、今の所、ピンバック攻撃の兆候はなく、またできればSEO上、ピンバック受けたいので機能OFFです。

・通知機能

 WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
 あまり普段、ワードプレスの管理画面に入る事がない方は有効ですね。
 私は、毎日管理画面に入り、更新情報などは把握しているため、機能OFFにしました。

・WAFチューニングサポート

 WAF (SiteGuard Lite)の除外ルールを作成します。
 ここまではまだ良いかな?と思い、機能OFFです。

 もし、未だに、ログイン名を admin や root 、 test などお使いの場合には非常に危険ですので、その場合には、ログイン名じたいを早急に変更なさることをお勧め致します。

SSL環境の場合

 WordPressをSSL化している場合でも、サイトガードは機能します。使えます。
 ただし、SSLを強制的に行うようなプラグイン(例:Really Simple SSL、WordPress HTTPS)を使用している場合には、干渉してしまい、画像認証が使えない事を確認しています。
 使用できない場合には、プラグインの干渉問題かと存じますので、今後のバージョンアップに期待です。

 なお、上記例のプラグインを使っていないSSL化サイトでは、正常にSiteGuard WP Pluginが使用できていることも確認しています。
 例えば、wpXクラウドの無料SSL化を使用して、サイトを常時SSLにした場合、SSL用のプラグインを使う必要が無いので、サイトガードが機能していますこと、ご報告申し上げます。



閲覧ありがとうございます。ご参考になりましたでしょうか?
  • 普通だった 
  • 参考になった 
  • すごく良かった 




5万文字以上のブログ収入を得る為の「実践バイブル」を創刊致しました。
読切タイプの参考本的な内容です。詳しくは下記をご参照願います。
takada式「ブログで収入を得る実践テクニック」(適時追加あり)

無料でブログ・サイトの「アクセス向上」を狙うノウハウマガジンです。
無料購読可能→いつでも購読中止できるnoteにて無料配信中。
takadaのブログで収入講座(無料版)

takada素浪人

投稿者プロフィール

お忙しい中「脱藩起業」をご覧頂きまして深く御礼申し上げます。
現在、サイト運営の広告収入のみで生活している個人事業主で、2015年はお陰様で、運営サイト全体数値ですが2500万PVを達成致しました。
このサイトにてアドセンス広告は掲載しておりませんが、WordPressを使用したアフィリエイトや広告展開、そして愚痴などを中心に言いたいことも掲載させて頂いております。
もしよろしければ、Facebook・Twitterなどでご感想やご質問など賜りますと嬉しいです。(^-^)
あと「ブログで稼ぐオンライン講座」も始めました。

この著者の最新の記事

関連記事

コメント

ご挨拶

いつもご覧頂きまして、誠にありがとうございます。

お陰様で、2016年1月~11月は、このサイトを含めた運営サイト合計で4935万PVとなりました。

プロフィール

Twitter でフォロー


2016年8月、最新刊を電子書籍にて格安配信開始致しました。
ページ上部へ戻る