【プラグイン】Site Guard WP Plugin のセキュリティ内容を整理してみた

安心してWordPressを運営するためには、セキュリティ関連のプラグインが必要です。

中でも「Site Guard WP Plugin」は、さまざまな不正アクセスからブログを守る必須アイテムとして、必ず名前の挙がるプラグインです。

ただ、導入はしたものの、いまひとつセキュリティ内容を理解できていなかったので、整理してみることにしました。

Site Guard WP Plugin 出来ること

Site Guard WP Plugin は、管理ページとログインページの保護を中心としたセキュリティ専用のプラグインです。

Site Guard有効化後、ダッシュボードに表示される「設定状況」一覧で内容を確認できます。

SiteGuard の設定項目

ダッシュボードでは、設定状況とログイン履歴が確認できます。

チェックマークが緑色に反転している項目が設定ONの状態です。

上の画像は、初期設定のままをスクショしました。内容を確認し、必要に応じて項目のオン/オフを切り替えます。

【注意!】有効化直後、ログインURLが変更されます!

WordPressで作られたサイトは、ブラウザのアドレスバーに「https://サイトドメイン」に続けて「/wp-admin」と打ち込むと、ログインページが開きますが、、、

Site Guard WP Plugin を有効化すると、自動的にこのURLが変更されます

ログインURLの変更は、なぜ必要か?

WordPressで作成したサイトの場合、「https://サイトドメイン/wp-admin」でログインページが開くのは自分のサイトに限りません。他人のサイトであっても同様です。

つまり、ログイン画面までは誰でもアクセスできる!ということです。

始めてそのことを知った時、私は驚きました。

万が一、ユーザー名とパスワードが漏れてしまえば、誰かに簡単に乗っ取られてしまう可能性があるということじゃないですか!

実際『ブルートフォースアタック(総当たり攻撃)』の被害があると知れば、余計に怖くなります。

理論的にありうるパターン全てを入力し解読する暗号解読法のことを
『ブルートフォースアタック』と言います。

たいへん!
たいへん!

コンピーターで自動化すれば、4桁の暗証番号なら

3秒程度で突破されちゃうらしいブー!

このブルートフォースアタックに有効なのが、ログインURLの変更です。最初の段階で、悪意ある相手をログイン画面まで辿り着かせないことができるのです。

【要確認!】変更後のログインページURL

SiteGuardはプラグインを有効化すると、自動的にログインページのURLが変更されます。

有効化直後に表示されます。

管理画面の[SiteGuard]→[ログインページ変更]から新しいURLを確認できます。

初期設定では「login_<5桁の乱数>」となっていますが、任意の文字列に変更もできます

確認ができたら、新しいログインページURLをブックマークしましょう。

設定項目の内容

それでは上から順番に項目の確認をしておきましょう。

管理ページアクセス制限

ログインしていない接続元IPアドレスが、管理ページ(/wp-admin/以降)へアクセスした場合に「404 Not Found」を表示し、管理ページに対する攻撃をブロックします。

ログインページ変更

SiteGuard を有効化した直後に自動的に変更された新しいログインページのURLを確認できます。

画像認証の追加

SiteGuardを有効化すると、ログイン画面で画像認証が求められるようになります。

有効化【前】のログイン画面
有効化【後】のログイン画面

画像認証の文字は、設定で英数字を選択することもできますが、ロボットや海外からの攻撃にはひらがなのほうが有効なので、変更しないほうが良いでしょう。

ログイン詳細エラーメッセージの無効化

ログイン画面でユーザー名やパスワードなど、どこかで入力項目を間違えてしまった場合には、エラーメッセージが表示されるようになっています。

初期設定のままのメッセージだと、間違っているのはユーザー名なのか、パスワードなのか、あるいは、画像認証なのかが判別できるものになっています。

これではログインを突破しようとする相手にヒントを与えるようなものです。

そこで、何がエラーなのかを推測されないよう、全てのエラーに対して同じメッセージを表示するようにするのがこちらの機能です。

ログインロック

ログインロックは、ログインの失敗を繰り返す接続元を、一定期間ロックする機能です。

設定画面では、期間、回数、ロック時間を指定できます。

ログインアラート

WordPressにログインがあったことを、メールで通知する機能です。心当たりのないログインを監視するのに役立ちます。

フェールワンス

フェールワンスとは、ログインする時に正しい入力を行っても、1回目はログインできなくする機能です。機械的に攻撃を仕掛けてくるブルートフォースアタックに効果的です。

XMLRPC防御

XMLRPC防御では、XML-RPCピンバックを利用したDDoS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御します。

・・・とは書きましたが、
XML-RPCピンバックがわかってないので調べました ( ´艸`)

XML-RPCピンバックとは

ピンバック(Pingback)とは、自分のサイト内の記事に、参考にした他人のサイトのURLを挿入して投稿すると、自動的に相手に「リンクしましたよ」と知らせる機能です。

要するにトラックバックと同じですかね…。

本来なら双方にとって気軽なコミュニケーションツールとして便利なはずの機能ですが、この機能を悪用して、DDoS攻撃の踏み台に利用されるケースがかなりの数、報告されています。

たまにニュースなどで耳にすることがあると思いますが、ある特定のサイトに大量のアクセスを仕掛けて負荷をかけ、ダウンさせるという、あれです。

つまり、自分が知らない間に悪事に加担させられている可能性があるというわけです。

ピンバックがどうしても必要だというケース以外は、無効化しておいたほうが良いようです。

ユーザー名漏えい防止

攻撃相手にユーザー名が漏えいするのを防ぎます。

ユーザー名がわかってしまうと、残りはパスワードを解読するだけだというヒントになってしまいます。そのため、ユーザー名は伏せておいたほうが安全です。

更新通知

WordPress、プラグイン、テーマの更新を、メールで通知してくれます。

WordPressが常に最新の状態に保てるよう、更新通知はONに設定しておきます。

WAFチューニングサポート

WAF(ワフ)とは、Web Application Firewall の略です。

Web Application Firewallとはウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティの一種。

出典: フリー百科事典『ウィキペディア(Wikipedia)』

最近ではレンタルサーバー側でWAFが導入されていることも多く、ロリポップやエックスサーバーでも無料提供されています。

外部からのアクセスに対してWAFが通信を解析・検査し、攻撃と判断した通信を遮断します。

この動作は、ユーザーによる正常な通信を遮断してしまう誤判断を起こすことがあるため、チューニング(調整)する必要があります。

SiteGuard の「WAFチューニングサポート」では、正常なアクセスがWAFによって遮断されてしまう場合に、それを回避するルールを作成することができます。

タイトルとURLをコピーしました