「WordPressの管理画面へのログイン履歴を記録したい」とか「WordPressの管理画面にログインしたことを通知してもらいたい」なんて思ったことはないでしょうか?
さらに「WordPress自体がバージョンアップした場合やプラグインもしくはテーマのバージョンが更新された際に通知してもらいたい」なんて思ったこともないでしょうか?
今回はそういった管理画面のログイン関連や管理画面関連及びバージョン更新関連に特に有効な「SiteGuard WP Plugin」というプラグインを使用したセキュリティ対策についてご紹介したいと思います。
このSiteGuard WP Pluginで出来る主なセキュリティ対策は以下の通りです。
- 管理ページやログインページからの不正侵入対策
- ログインや更新の通知機能
それで、こんな方に読んで頂くと参考になると思います。
- 管理ページやログインページからの不正侵入対策やセキュリティ通知機能について詳しく知りたい方
- SiteGuard WP Pluginの設定方法がよくわからない方
- SiteGuard WP Pluginにはどんな設定項目があるのかを知りたい方
現時点でのバージョンは「1.4.3」となります。
■目次(読みたいタイトルをタップ、クリックすることで移動できます)
SiteGuard WP Pluginの設定方法
それでは早速設定内容を説明していきたいと思います。
プラグインの有効化
まずはWordPressのプラグイン管理画面から「SiteGuard WP Plugin」を有効化しましょう。
プラグインの管理画面へのアクセス
次にWordPressの管理画面のサイドバーに追加された「SiteGuard」アイコンへマウスオーバーしてサブアイコンを表示させます。
サブアイコンに表示された「ダッシュボード」リンクをクリックして、SiteGuard WP Plugin自身の管理画面にアクセスします。
管理画面からは現在の設定状況が確認できます。
チェックマークが緑色に表示されている項目が有効となっている設定項目となります。
それぞれの設定をクリックして設定画面を表示します。
各設定画面での設定内容
管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
この機能を使用するにはmod_rewirte機能がサーバ側で提供されている必要があります。
「ON」ボタンをクリックして機能を有効化します。
除外パスの設定項目には除外したいパスを設定できます。
ここではデフォルトのままとしています。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
ログインページ変更
ログインページ名を変更します。
この機能を使用するにはmod_rewirte機能がサーバ側で提供されている必要があります。
「ON」ボタンをクリックして機能を有効化します。
変更後のログインページ名がランダムな数字で表示されていると思いますので、そちらを採用してもいいですし、自分でユニークなログインページ名を設定することも可能です。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
画像認証
ログインページ、コメント投稿に画像認証を追加します。
「ON」ボタンをクリックして機能を有効化します。
各ページの画像認証を「ひらがな」か「英数字」もしくは「無効」に設定できます。
ここでは全て「ひらがな」に設定しました。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
「ON」ボタンをクリックして機能を有効化します。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
「ON」ボタンをクリックして機能を有効化します。
期間や回数およびロック時間を設定できます。
ここでは期間を「5秒」、回数を「3回」、ロック時間を「1分」としています。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
ログインアラート
ログインがあったことを、メールで通知します。
「ON」ボタンをクリックして機能を有効化します。
サブジェクトにはメールの題名を設定できます。
特にこだわりがないのでデフォルトのままとしています。
メール本文にはメールの文章を設定できます。
こちらもデフォルトのままとしています。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
こちらはログインを二回行う必要があるので使っていません。
XMLRPC防御
XMLRPCの悪用を防ぎます。
この設定はレンタルサーバー側で設定しているので使っていません。
更新通知
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
「ON」ボタンをクリックして機能を有効化します。
WordPressの更新を「有効」としています。
プラグインの更新を「アクティブなプラグインのみ」としています。
テーマの更新を「アクティブなテーマのみ」としています。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
WAFチューニングサーポート
WAF (SiteGuard Lite)の除外ルールを作成します。
こちらもSiteGuard Liteを使っていないので設定していません。
詳細設定
IPアドレスの取得方法を設定します。
IPアドレス取得方法を「リモートアドレス」としています。
設定を反映したい場合は「変更を保存」ボタンをクリックします。
ログイン履歴
ログインの履歴が参照できます。
設定ではないですが、ログイン履歴が参照できます。
身に覚えのないログイン履歴が無いか等を確認できます。
まとめ
以上でSiteGuard WP Pluginの設定が完了しました。
設定はとても簡単でしたが、セキュリティ対策はかなり強固になりました。
SiteGuard WP Pluginで特に有効化をおすすめする機能としては、ログインアラートと更新通知等の通知機能です。
何かあった場合にお知らせしてくれるのはとてもありがたいです。
自分も含め誰かがログインしたタイミングで通知が来るのでとても安心ですし、バージョンアップのお知らせが来るのでバージョンアップを長期間し忘れて放置することも少なくなると思います。
前回ご説明した「iThemes Security」と併用することで、セキュリティ対策のカバーエリアがかなり広がりますので、是非導入して自分の資産であるWordPressを守ってあげましょう。
「iThemes Security」については以下で詳しい設定方法をご紹介していますのでご参照ください。
