• home>
  • ブログ>
  • WordPressサイトのセキュリティ対策~SiteGuard WP Plugin

blogブログ

WordPressサイトのセキュリティ対策~SiteGuard WP Plugin

カスタマイズがしやすく導入しやすいWordPressですが、広く使われているため攻撃の対象になりやすいというデメリットがあります。

攻撃を受けるとサイトを改竄されたり、スパムメール大量送信の踏み台サーバーにされる等の被害が想定され、サイトオーナーのブランド力・信頼性を損なう事態ともなり得るため、しっかりと対策をとっておくべきでしょう。

攻撃の手法として、本体・プラグイン・テーマの脆弱性を突いてくるものが多いため、まずはWordPress本体とプラグインをこまめにアップデートするということが対策として考えられます。

しかし上記のみでは不正侵入を防げません。
そこで、攻撃を受けやすい「wp-admin」フォルダと管理画面を簡単に保護できるSiteGuard WP Pluginの導入が有効な手段と考えられます。
このプラグインは、ヘテムルの簡単インストールでも自動的にインストールされるので、馴染みのある方もいるのではないでしょうか。
同プラグインをインストール、有効化するとメニューに「SiteGuard WP Plugin」が追加されます。

ダッシュボードから設定を行います。
各項目をクリックし、ON/OFFを選択するのみです。
(ログインアラート、フェールワンス、更新通知、WAFチューニングポイントについては当方では不要のためOFFにしています)

ログインページ変更
攻撃の対象になりやすいログインページを「サイトアドレス/任意の名前」に変更できます。

画像認証

ログインページやコメントページにひらがな、英数字の画像認証を追加できます。海外からの攻撃ブロックにはひらがなの画像認証が有効かと思われます。

XMLRPC防御
pingback機能あるいは xmlrpc.phpを無効化し、悪用を防止する機能なのですが、xmlrpcを使用するプラグイン等を利用している場合はONにできません。

なお、上の図の通り設定したあとにアクセスしたところ、ログインページを変更したにもかかわらず、「変更後のログインページurl」、「wp-admin」及び「wp-login.php」いずれも表示されてしまうという現象が起こりました。
一度ログインに成功したIPを記憶して、そのIPからのアクセスなら上3つ、いずれもアクセス可能になる仕様のようで、ログインしたことのないIPから同じようにアクセスすると、以下の結果となりました。

変更後のログインページurl
画像認証付きのログインページが表示される(下図の通り)。

wp-admin
「ページを表示できません。」

wp-login.php
wpテーマ内の、404エラーのページ

まとめると、プラグインインストール、設定の一手間で以下の効果が望めます。

  • アクセス制限、ログインページ変更により管理画面が探しづらくなるため、不正侵入のリスクを減らせる。
  • 画像認証、ログインロック、xmlrpc防御によりブルートフォース攻撃やリスト攻撃等に対処できる。

以上、大切なサイトを守るため、是非お試しいただければと思います。