★★★ たった "1日" でできるWordPressブログの作り方講座 ★★★ はじめてみる

WPの不正ログイン防止プラグイン「SiteGuard WP Plugin」の設定方法

WPの不正ログイン防止プラグイン「SiteGuard WP Plugin」の設定方法

WordPressはユーザ名とパスワードが分かれば誰でもログインできてしまいます。

それだと不正ログインの被害に遭ったり、ブログ・サイトが丸ごと乗っ取られるリスクがあるからかなり危険です。

そのリスクを減らすのに絶対入れるべきが  SiteGuard WP Plugin プラグイン

ここではこのプラグインで不正ログインを防いでセキュリティを向上させる使い方についてまとめました。

SiteGuard WP Plugin の導入

まずこのプラグインをインストールするには、
メニューから「プラグイン」ー>「新規追加」をクリック

まずはメニューから「プラグイン」ー>「新規追加」をクリック

新規追加画面が開いたらプラグインの検索欄に「siteguard」などと入力して検索

すると検索結果の上あたりに次のようなプラグインが表示されるので「今すぐインストール」を押してインストールしてください。

SiteGuard WP Plugin - セキュリティ強化が手軽にできるプラグイン

ちなみに以下のプラグインページから直接ダウンロードすることも可能です。

https://ja.wordpress.org/plugins/siteguard/

インストールしたら「今すぐインストール」ボタンが「有効化」ボタンに変わるので、必ずそれを押して有効化するのもお忘れなく

有効化したら必ずログインURLを記録しよう!

有効化したら必ず次のことを行ってください。この作業を忘れると最悪ログインができなくなってしまいます。

プラグインを有効化すると次のように、画面上部に「新しいログインページURLをブックマークしてくだい」というメッセージが表示されます。

SiteGuardを有効化すると「新しいログインページURLをブックマークしてくだい」が表示されるはず

この指示通りに「新しいログインページURL」を必ずブックマークに追加してください。

何も設定していないデフォルトの状態だとログインページのURLは次のようになります。(「wp-login.php」というのはどのWordPressでも共通)

http://[ドメイン名]/wp-login.php

これだと誰でもログインページにアクセスできてしまうので、このプラグインを有効化するとログインページURLが次のように置き換わります。

http://[ドメイン名]/login_[数字列]

数字列には「88605」などの不規則な数字列が入るので攻撃者がログインページを推測しにくくなるという訳です。

ですが・・・

ログインページURLを忘れると管理者ですらログインページに入れなくなるので要注意

先ほど書いたように、必ず新しいログインページのブックマークは忘れないでください。
そうしないと開かずの扉ならぬ「開かずのブログ」になってしまいます。

SiteGuard WP Plugin の機能

導入自体はこれで終わり。
次は SiteGuard WP Plugin の不正ログインを防ぐ機能を紹介します。

ログイン時の画像認証

突然ですが先ほどブックマークした新しいログインページにアクセスしてみてください。

そうするとユーザー名とパスワードの下に表示された文字列を入力しないとログインできない画像認証が追加されましたよね?

SiteGuardを導入した後のログイン画面。表示されてる ひらがなの画像 を入力しないとログインできなくなる

これがこのプラグインの1つめの機能、いわゆる 画像認証 です。

この画像認証はログインページの他に次の管理ページでも表示されます。

  • コメントページ
  • パスワード確認ページ
  • ユーザー登録ページ

そしてこの画像認証パターンには次の3つが設定可能

  • ひらがな(デフォルト)
  • 英数字
  • 無効(画像認証なし)

もし画像認証の設定を変えたい場合、
メニューから「SiteGuard」ー>「画像認証」を選んでください。

SiteGuard WP Plugin - メニューから「SiteGuard」ー>「画像認証」をクリック

画像認証ページを開くと次のように画像認証のON/OFFや認証方式の設定を選択することが可能です。

SiteGuard WP Plugin - 画像認証のON/OFFや認証方式の設定を選択する画面

設定を変更したら下の方にある「変更を保存」ボタンを押すと変更が反映されます。

ログインアラート

これはログインがあったことをメールで知らせてくれる機能です。

実際にログインページからログインしてみると次のようなメールがWordPressに登録してあるメールアドレス宛に届きます。

SiteGuard WP Plugin - ログインアラートが有効だと、ログインがあるとWP登録メール宛に通知が届く

もし不正ログインがあったとしても、このメール通知が来るからすぐ対処可能です。

ログインロック

WordPressに不正ログインしようとする攻撃者がよく使うのは、
ブルートフォースアタック(力任せ攻撃)と呼ばれる攻撃手法

これはパスワードで可能な組み合わせを全て試し、総当たりでセキュリティを突破するという攻撃のことです。

これを防ぐために一定回数ログインに失敗すると一定期間ログインができなくする機能があって、それが ログインロック です。

実際にログインページで複数回ログインに失敗するとフォームの上に「エラー: ログインはロックされています。」というメッセージが出てきてログインができなくなります。

SiteGuard WP Plugin - ログインロックが有効だと一定回数ログイン失敗で一定期間ログイン不可になる

デフォルトではロック時間は一分になっていますが、この設定を変えたい場合はメニューから「SiteGuard」ー>「ログインロック」と進むと次のような設定画面が出てきます。

SiteGuard WP Plugin - ログインロックの設定はメニューから「SiteGuard」ー>「ログインロック」を開くことで設定可能

この画面では設定できるのは次の3つの項目

  • 期間
    この期間の間に一定回数ログインに失敗するとロックがかかる
  • 回数
    この回数分だけ上で指定した期間の間にログイン失敗するとロックがかかる
  • ロック時間
    ロックがかかった場合に再度ログイン可能になるまでのロック時間

例えば期間を5秒、回数を3回、ロック時間を1分に設定すると「5秒の間に3回ログイン失敗したら1分間だけロックがかかる」という設定になります。

まとめ - 不正ログイン対策は超大事

自分の所有しているブログやサイトは大事な資産です。

なのでそれを乗っ取られて被害にあわないためにもここでは紹介した「SiteGuard WP Plugin」などのプラグインを導入しましょう。

自分は大丈夫と思わわずにしっかり不正ログイン対策をするのが大切です。

The following two tabs change content below.

フク郎

昔はプログラミングに熱中していたが、ブログとWordPressに興味を持ち始め今はサイト・ブログ作りが生きがい。自分の「好き」をブログに変えたい、情報発信したい人に役立つWordPress術・サイト構築術を発信中。一日一歩楽しんでブログ構築できるように読みやすい&楽しい記事作りを心がけています。Twitterアカウントはこちら ⇒ フク郎@Fukuro-Press