『SiteGuard WP Plugin』の使い方と設定方法

『SiteGuard WP Plugin』は、セキュリティ系の専門企業の
ジェイピー・セキュアが開発したセキュリティプラグインです。

WordPressの共通ログインページである「/wp-admin」の変更機能や、
ログイン履歴の大量保存、フェールワンス等の機能を備えています。

設定項目は多いですが、解説を見ればすぐにでも設置が可能なプラグインです。
今回は『SiteGuard WP Plugin』の使い方と設定方法を解説します。

SiteGuard WP Pluginの設定方法

プラグインのインストール後、プラグイン一覧の上部に下図のメッセージが表示されます。
文末の「設定変更はこちら。」をクリックします。

SiteGuardの設定は他にも複数ありますが、まずはログインページの設定です。

なお、手順を飛ばしていますが、SiteGuardの設定は
管理画面の左メニューに「SiteGuard」が追加されています。

ログインページ変更

変更後のログインページ名

WordPressのデフォルトのログインページ「http://サイト名/wp-admin」を任意に変更します。
不正アクセスを防ぐためにも必ず変更するようにしましょう。

オプション

オプションは必ずチェックを入れます。

ログインページを変更してもデフォルトの「wp-admin」はアクセスができます。
チェックを入れることで、任意に変更したログインページのみ適用されます。

上記設定後、「変更を保存」をクリックします。
ログインページを忘れないようにショートカットは作っておきましょう。

管理ページアクセス制御

管理者ページ（ログインページ）へログインするIPアドレスを制御します。

デフォルトではこの機能は「OFF」となっています。必須の設定ではありません。

注記にある通り24時間以上ログインしていないIPアドレスは自動で削除されるため、
毎日ログインしている人でもなければ「OFF」で問題ありません。

ログインしていないIPアドレスからでもアクセスしたい場合は、パスを入力しますが、
最初に設定した「ログインページ変更」の設定で十分です。

画像認証

ログインページ、コメント欄、パスワードの確認欄、ユーザ登録欄に画像認証を追加します。

デフォルトでは全て「ひらがな」で選択されています。
英数字との混合ができないのは難点ですがいずれを選択します。

コメント欄への画像認証は賛否がありますが、
スパムコメントへの対策として欲しい場合は選択、不要な場合は「無効」を選択します。

下記はログインページとコメント欄の画像認証例です。

ログイン詳細エラーメッセージの無効化

ログインページでログインに失敗した場合のエラー内容を設定します。
デフォルトは「ON」です。必須の設定です。

下記は「OFF」で設定した場合です。

ログインページにおいて、ユーザ名は正しいが
パスワードが間違っている場合は下記のように表示されます。

ユーザ名が間違っている場合は下記のように表示されます。

ユーザ名が判明した場合、あとはパスワードをランダムに
何度も打ち込むことで不正アクセスが成功する可能性が高まります。

この機能を「ON」にしておくことで、
ログイン失敗時は下記のメッセージに統一し、セキュリティを高めることができます。

ログインロック

何度もログインに失敗した場合のロック機能です。これも必須の機能です。

期間：ログインロックの期間を指定します。
回数：ログインロックの回数を指定します。
ロック時間：ログインロックのロック時間を指定します。

自分は間違えないという前提で、「ロック時間」は最長の「5分」にしておきましょう。

ログインアラート

サイトへのログインがある度に管理者へログイン情報が通知されます。
デフォルトは「ON」となっていますが、必須の設定ではありません。

サブジェクト

メールの件名です。「%SITENAME%」は、サイトのタイトルを指します。

メール本文

メールの本文です。

「%DATE%」はログイン日、「%TIME%」はログイン時間、
「%USERNAME%」は、ログインユーザを指します。

IPアドレス：ログインユーザのIPアドレスです。
リファラー：ログインを試みているログインページです。
ユーザーエージェント：ログインユーザのシステム情報です。

フェールワンス

「ログインに成功しても、一度だけ失敗する」という機能です。

注記にある通り、1度ログインに成功した後、
5～60秒以内に再度入力を行うことでログインができます。

デフォルトは「OFF」となっていますが、セキュリティを上げたい場合は「ON」にします。

XMLRPC防御

Pingback機能またはXMLRPC機能を無効化する設定です。
設定は必須ではないので後述する機能説明から「ON」「OFF」を判断してください。

Pingbackは、記事の作成において参考にした記事のリンクを自サイトに貼り付けた場合に、リンク元の管理者に通知を行う機能です。リンクを通じたアクセス者の期待値が上がったり、所説としてSEO効果があると言われていますが、無効化することでスパムを防ぐというメリットもあります。設定は「ON」のままで問題ありません。設定したい場合は機能を「OFF」にしてください。

XMLRPCは、XML形式のデータ通信を指し、これを無効化することで注記の通りXMLRPCを使用したプラグイン等の使用ができなくなります。意図がなければ設定することはないかと思います。

更新通知

WordPress本体、プラグイン、テーマの更新がある場合にメールで通知を行うための設定です。
ダッシュボードで確認できる項目のみで、通知が増えるのみなので「OFF」でも構いません。

WAFチューニングサポート

サーバにWAF（Web Application Firewall）を導入している場合の除外設定です。

WAFの有無は環境次第なので利用中のサーバの設定を確認してください。
除外設定が必要な場合は、「新しいルールの追加」をクリックします。

詳細設定

IPアドレスの取得方法を選択します。
デフォルトの設定で問題はなく、機能説明は注記に記載ある通りです。

ログイン履歴

ログイン履歴がここに保存されます。

日時：ログイン日時がログインの成功可否関係なく表示されます。
結果：ログインの成功可否を表示します。
ログイン名：ログインを試みたIDを表示します。
IPアドレス：ログインを試みたユーザのIPアドレスを表示します。

ログイン履歴は、最大10,000件まで記録することができます。

まとめ

『SiteGuard WP Plugin』は、多様な機能を備えていますが、プラグイン一つで全てのセキュリティ対策ができるわけではありません。全ての対策をしようとすれば切りがありませんし、プラグインを入れる程にウェブへの負荷が高まるデメリットもあります。

それでも一つ一つ設定と対策を行うと共にセキュリティ意識を上げるようにしましょう。