ブルートフォースアタック(総当り攻撃)やリスト攻撃などの不正ログインを試みる攻撃を受けにくくするためのプラグインです。
不正ログインに有効。
インストール
[プラグイン]-[新規追加]の画面で、検索フィールドに“SiteGuard WP Plugin”と入力して検索。
検索結果の“SiteGuard WP Plugin”の[今すぐインストール]をクリック。
インストールが完了したら[プラグインの有効化]をクリック。
左メニューに“SiteGuard”のメニューが追加されればインストール完了です。
各種設定
ログインページの設定
インストールが完了すると初期設定で自動的にログインページURLが変更され、プラグイン一覧上部に[ログインページが変更されました。]と表示されます。
自動的に変更されたログインURLは、下記のように生成されます。
WordPressのインストール先が“ドメイン/wp/”であれば下記のように生成されます。
5桁の数字はランダムで生成されます。
自動で生成されたログインURLで問題なければ[ログインページURLが変更されました。]をクリックしてログインし直します。
5桁の数字がランダムで生成されることから、一見セキュリティに強そうですが、SiteGuard WP Pluginを想定した総当たり攻撃なら弱いように思えます。
独自のログインURLを作成すると、さらにセキュリティとして万全でしょう。
設定変更は[こちら]をクリックするとログインページ変更画面が表示されます。
このページは、左メニューの[SiteGuard]-[ログインページ変更]からも表示できます。
「変更後のログインページ名」で変更できます。
使える文字は、英数字・ハイフン・アンダーバーですが、予測できないようなネーミングにすることでセキリュティが向上するでしょう。
ログインURLをWordPressのデフォルトのまま、変更したくない場合は[OFF]をクリックしておきます。
変更後は、必ず[変更を保存]をクリックしておきましょう。
ログインページURLを変更した場合は、変更後のURLを忘れないようにご注意下さい。
画像承認
ページ別で画像承認の機能を設定できます。
承認できるページは、ログインページ・コメントページ・パスワード確認ページ・ユーザー登録ページの4種類で、各ページ別にひらがな・英数字・無効の設定が可能です。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
ログイン詳細エラーメッセージの無効化
ログインに失敗した場合に表示されるエラーメッセージを全て同じメッセージにする機能です。
例えば、「ユーザー名が違います」とか「パスワードが違います」なんて、それぞれのエラー名が表示されてしまうと、ユーザー名を攻撃して合致したらパスワードを攻撃と順次攻撃されてしまいますが、どれが違うのかわからなければそれだけログインが困難になるわけです。
ただし、自分でもどれが違うのかわからなくなることから、ログイン情報を忘れると露頭に迷うことになるのでご注意下さい。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
ログインロック
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックする機能です。
ユーザーアカウント毎のロックはされません。
期間・回数・ロック時間の設定が可能ですが、デフォルトでも問題ないでしょう。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
ログインアラート
不正ログインに気付きやすくするための機能で、ログインすると、ログインユーザーにメールが自動送信されます。
ログインした心当たりがないのにメールを受信した場合、不正ログインされたことになります。
サブジェクト(メールタイトル)・メール本文の設定が可能で、変数を使うことで通知内容の変更ができます。
サイト名 | %SITENAME% |
ユーザー名 | %USERNAME% |
日付 | %DATE% |
時刻 | %TIME% |
IPアドレス | %IPADDRESS% |
ユーザーエージェント | %USERAGENT% |
リファラー | %REFERER% |
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
フェールワンス
正しいログイン情報を入力しても、1回だけログインを失敗にすることでリスト攻撃を受けにくくする機能です。
5秒以上60秒以内に再度正しいログイン情報を入力するとログイン正常にログインできる仕組みになっています。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
ピンバック無効化
ピンバックの悪用を防止する機能です。
ピンバックとは、参考にした記事のサイト管理者にリンクを貼ったことを通知して、ピンバックを受けたサイト管理者が承認することで相互リンクの形式を簡単につくれる機能です。
WordPressの便利な機能ですが、悪用もできる機能なのでセキュリティ上よろしくないという観点です。
デフォルトでONになっています。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
怪しいピンバックを承認しなければ問題ないことなので、相互リンクを重視するならOFFのほうがいいのかもしれません。
更新通知
WordPress・プラグイン・テーマの自動更新を設定する機能です。
WordPress・プラグイン・テーマを常に最新バージョンにしておくことは、セキュリティの基本です。
この機能をONにしておくと、24時間毎に更新を確認し、管理者にメールで通知するようになります。
この機能を使いたくない場合は[OFF]をクリックしておきます。
設定変更後は、必ず[変更を保存]をクリックしてください。
WAFチューニングサポート
正常なアクセスを誤検知してエラー表示させてしまうことを防止するための機能です。
除外するルールを設定して使用しますが、この機能を使うには、WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている必要があります。
不具合がなければ特に使う必要はないでしょう。