WordPressの脆弱性に対応するおすすめ和製セキュリティ対策プラグイン「SiteGuard WP Plugin」の使い方と注意点

プラグイン

「SiteGuard WP Plugin」プラグインは、簡易な操作で多くの外部攻撃(ブルートフォース攻撃、リスト攻撃、コメントスパム、不正にログインを試みる攻撃、Pingback機能を悪用した攻撃等)を防いでくれる和製セキュリティ対策プラグインです。

また、WordPress本体やプラグインの更新通知機能もありますので、セキュリティ対策に不安を感じている方は是非「SiteGuard WP Plugin」プラグインを導入しましょう。

なお、「SiteGuard WP Plugin」プラグインを導入するにあたっての使い方や、気をつけるポイントなどを以下に紹介させて頂きますので、参考にして頂ければと思います。

スポンサーリンク

SiteGuard WP Pluginの基本情報

・作者:JP-Secure
・プラグインのHP:WordPress上のHP

SiteGuard WP Pluginの特徴

・日本企業が開発したプラグインであるため、設定画面が日本語で使いやすい
・機能毎に、わかりやすい説明が詳細に記載されている
・各セキュリティ機能を有効か無効にするだけの簡単操作
・簡単な操作にも関わらず、WordPressでよくある外部攻撃を防ぐことができる

SiteGuard WP Pluginのインストール方法

1.「SiteGuard WP Plugin」を検索・インストール

SiteGuard WP Pluginのインストール画面

プラグイン検索画面で「SiteGuard WP Plugin」を検索します。

すると、上の画像のように「SiteGuard WP Plugin」がみつかります。

その後、「今すぐインストール」ボタンを押下します。

すると、WordPressに「SiteGuard WP Plugin」がインストールされます。

2.SiteGuard WP Pluginを有効化

SiteGuard WP Pluginの有効化画面

上の画像にある「有効化」ボタンを押下します。

SiteGuard WP Pluginのメニュー

「有効化」処理が完了すると、WordPressの管理画面に上の画像のように、SiteGuard WP Pluginのメニューが追加されます。

SiteGuard WP Pluginの機能

SiteGuard WP Pluginのメニューを選択すると、以下のようなダッシュボードが開きます。


SiteGuard WP Pluginのダッシュボード

ここに表示されている各機能のリンク、あるいはメニューに追加されている各機能のリンクより、各機能の設定画面を開くことができます。

なお、以下からが各機能の説明です。

ログイン履歴


ログイン履歴画面の画像

ログイン履歴の説明

【設定画面に記載されている機能説明】
ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。

言葉通りではありますが、管理画面にログインした履歴を確認することができる機能です。

管理画面にアクセスする人は限られているはずですので、覚えのない時間や場所からのアクセスが合った場合は、不正なアクセスであるということが確認することができます。

余談ではありますが、今回この「SiteGuard WP Plugin」紹介ページを作成するにあたりログイン履歴画面を改めて見てみたところ、不正なログインを試みた履歴や外部攻撃の履歴を確認することができました。

この「SiteGuard WP Plugin」を入れていなければ、不正なログインやHPの改竄などの外部攻撃を受けていたかもしれません。

改めて「SiteGuard WP Plugin」を有効化し、各セキュリティ機能をONにしておいてよかったと感じた瞬間でした。

管理ページアクセス制限


管理ページアクセス制限画面の画像

管理ページアクセス制限機能の説明

【設定画面に記載されている機能説明】
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

簡単に言うと、ログインをしている機器のみ、管理機能をもつ場所にアクセス出来ないようにする機能です。

なお、管理人の経験談として、同機能をONにして投稿ページを更新したところレンタルサーバー側のWAF(ファイアウォールのようなセキュリティ機能)に感知されてしまい、エラーが発生しました。

このようにセキュリティレベルは高められる機能ではありますが、思わぬエラーが発生してしまう可能性がある機能ですので、初期設定のOFFのままがおすすめです。

ログインページ変更


ログインページ変更の画像

ログインページ変更の説明

【設定画面に記載されている機能説明】
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
ログインページ(wp-login.php)の名前を変更します。
初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

実はWordPressは普通にインストールをしたままだと、少し知識のある人であれば管理画面のURLはバレバレです。

よって、悪意のある人はそのURLに向かって何度も攻撃をしかけ続ければ良いという事になってしまいます。

そのような外部攻撃に対して、ログインページ変更機能を使えば、管理画面のURLを変更することができます。

初期設定では「login_<5桁の乱数>」となっていますが、英数字、ハイフン、アンダーバーを使って任意のURLに変更することができます。

この機能は初期設定のURLに変更するだけでも、かなり効果があるセキュリティ機能なので、是非ONにしておきたい機能です。

なお、変更後のURLを忘れないようにしたいですが、この「SiteGuard WP Plugin」はその点も親切で、管理者宛に以下の画像のようなメールが届きますので安心です。


管理者宛に届くURL変更通知

画像認証


画像認証画面の画像

画像認証の説明

【プラグインに記載されている機能説明】
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。

以下の画像のように、ランダムな文字を入力するテキストボックスが表示されるようになり、そのランダムな文字の通り入力しないと、先の操作が出来ないという機能です。


画像認証機能の例

この機能は悪意を持った機械から、ランダムにユーザやパスワードを入力することで不正アクセスをしようという攻撃に対して非常に有効なセキュリティ機能です。

今でも悪意のある外部攻撃としては非常にメジャーな攻撃方法ですので、この機能はそれらの攻撃から防ぐ非常に有効なセキュリティ対応策となりますので、是非有効にしておきましょう。

ログイン詳細エラーメッセージの無効化


ログイン詳細エラーメッセージの無効化画面の画像

ログイン詳細エラーメッセージの無効化の説明

【プラグインに記載されている機能説明】
ユーザ名の存在を調査する攻撃を受けにくくするための機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザ名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

WordPressでは、入力したユーザ名が間違っていると、「ユーザ名が無効です。」と表示されます。

また、ユーザ名は合っているがパスワードが間違っている場合は、「ユーザ名 XXXX のパスワードが間違っています。」と表示されます。

つまり、悪意のある人がランダムでユーザ名、パスワードを入力すれば、入力したユーザ名が正しいのか判断されてしまうということです。

それを防ぐ機能が「ログイン詳細エラーメッセージの無効化」で、入力した内容が間違っている場合に同じエラーメッセージが出るようになるというセキュリティ機能です。

ログインロック


ログインロック設定画面

ログインロックの説明

【プラグインに記載されている機能説明】
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
特に、機械的な攻撃から防御するための機能です。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。
ユーザーアカウント毎のロックは行いません。

悪意のある人がランダムでユーザ名、パスワードを入力してログインを試みる場合、機械による攻撃が多いため、1秒間に数え切れない回数のアクセスが行われます。

そのような外部攻撃の特徴に着目したセキュリティ機能となります。

初期設定では5秒間に3回入力を間違えた場合は、1分間のロックがかかる設定となっています。

通常、WordPressの管理者がこのような数秒単位で何度も間違えることはありえないと思いますので、設定をONにする場合は、この初期設定のままで良いかと思います。

ログインアラート



ログインアラートの説明

【プラグインに記載されている機能説明】
不正なログインに気づきやすくするための機能です。
ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。
サブジェクトとメール本文には、次の変数が使用できます。
(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)XML-RPCによるアクセスは通知されません。

WordPressにログインした際に、WordPressの管理者にメールが飛ぶという機能です。

よって、自分や管理者によるアクセスがないはずの時間に同メールが飛んできた場合、不正なアクセスがあったと判断できるというものです。

よって、これは外部からの攻撃を防ぐというよりも、外部からの不正なログインがあった場合に気づくようにするという機能となります。

フェールワンス



フェールワンスの説明

【プラグインに記載されている機能説明】
リスト攻撃を受けにくくするための機能です。
正しいログイン情報を入力しても、1回だけログインが失敗します。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

何かしらの手段で、WordPressのユーザIDとパスワードが漏れてしまい、その情報を悪意のある人が入手した場合、不正なログインをされてしまいます。

その際にこのフェールワンス機能を有効にしておくと、入手した情報が間違っていると思わすことができるというものです。

この機能はあまり重要性を感じる人は少ないかもしれませんが、実は効果的なセキュリティ対策方法です。

それは悪意の攻撃を仕掛けてくる人はリスクを極力避けようとするため、一度ログインに失敗すると再度ログインを試みることを避ける傾向にあるためです。

また、この機能の良いところは、次のログインが「5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功する」ということです。

機械的にログインを試みる場合、通常5秒以内で再度ログインを仕掛けてくるため、この機能により防ぐことができるのです。

ただし、WordPressを頻度高く更新する管理者にとっては少し煩わしい作業とはなってしまいますが、セキュリティを担保するために必要なこととして受け入れて頂きたいと思っています。

XMLRPC防御

XMLRPC防御の説明

【プラグインに記載されている機能説明】
Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。
XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。
支障がある場合には、本機能を使わないでください。

ピンバック機能とは、参考にした記事のサイト管理者に通知する機能です。

この機能自体は全く無害なのですが、この機能を悪用すると、悪意のある人がWordPressを運用している何万人という人に対してピンバック機能をしかけ、特定のサイトに対して過剰な負荷をかけることができてしまいます。

そのような攻撃の加担をしないために、ピンバック機能を無効化してしまうという機能が、「ピンバック機能の無効化」です。

また、WordPressにおいて、メールで投稿する機能として「xmlrpc.php」というファイルが使われているのですが、このファイルを狙った攻撃が最近流行っています。

この攻撃があると、アクセスが非常に重くなったり、最悪アクセスができなくなったりという被害が出ます。

その外部からの攻撃に対するセキュリティ機能が「XMLRPC防御」です。

本来は有効化にしたいところですが、説明書きにある通り、有効化にすることでプラグインなどへの影響がある可能性がありますので、その点は御注意下さい。

更新通知


更新通知の説明

【プラグインに記載されている機能説明】
セキュリティの基本は、常に最新のバージョンを使用することです。
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
更新の確認は、24時間毎に実行されます。

WordPressは簡易に色んなことができるため、非常に有名なプラットフォームとして世に普及しています。

ただ、その有名であるがゆえに、WordPressは外部攻撃が非常に多いことも特徴です。

そのため、WordPress本体やそれに機能を提供するプラグイン開発者は、日々セキュリティの脆弱性を修正し公開してくれています。

そのセキュリティの脆弱性を補うためにも、その日々公開されている最新版の更新機能を1日でも早く運用しているWordPressに適用することが望まれます。

それらのWordPress本体やプラグインの更新情報に気づかせてくれる機能が、この更新通知機能です。

更新通知機能を有効にすると、24時間毎に更新がある場合は管理者に通知をしてくれるので、是非機能を有効にして随時更新を行うようにしたいものです。

なお、「SiteGuard WP Plugin」プラグインは多くのセキュリティ機能を提供してくれていますが、管理人個人的な主観ではありますが、この機能が実は一番基本的で一番重要ではないかと思っています。

それは、どれだけセキュリティ対策を行っていても、WordPress本体や付属するプラグインの脆弱性に対してセキュリティを担保することは非常に難しいため、それらの脆弱性に対応した最新更新を日々行う事が非常に重要だからです。

よって、この機能をONにすることは管理人からすると必ず行ってほしいですし、また、通知が届いたらできるだけ早くそれらの更新を行うようにして頂きたいと思っています。

そうすることで、悪意のある外部攻撃のほとんどが防げるというのが実情だからです。

是非、WordPressを使う方はこの事をしっかりと覚えておいてほしいと思います。

WAFチューニングサポート



WAFチューニングサポートの説明

【プラグインに記載されている機能説明】
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、
WordPress内での誤検知(正常なアクセスなのに、
403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、
WordPressの機能や、プラグインの機能によっては、
WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、
全体としてのWAFの防御機能を活かすことができます。

脆弱性をついた外部からの悪意のある攻撃からサイトを保護するセキュリティ対策をWAF(Web Application Firewall)と言います。

最近のレンタルサーバーでは、月額料金が安くても標準でこのWAF機能が付いていることが多くなっていますが、もちろん付いていないこともあります。

そのような時に、このSiteGuard WP Pluginプラグインを開発したJPEG-Secure社が開発したホスト型WAF「SiteGuard Lite」を利用することで、WAF機能が使えるというものです。

この「SiteGuard Lite」をプラグインとして利用する際に、正常なアクセスなのにエラーとするような誤検知を防ぐという機能です。

これはWAF機能として、「SiteGuard Lite」を利用する人に関係する機能ですので、レンタルサーバーのWAF機能を利用されている方などは考慮不要な機能となります。

SiteGuard WP Pluginプラグインを利用してみての感想

管理人も、SiteGuard WP Pluginプラグインを使っている人の1人です。

御紹介した通り、操作もON or OFF程度と簡単操作で、また、ログイン履歴機能の箇所で御紹介済みのように、実際に何度か管理人サイトに行われた外部攻撃を防いでくれており、大変助かっています。

そのため、「SiteGuard WP Plugin」プラグインを知らない人に伝えるため、このように記載紹介する記事を作成した次第です。

よって、一人でも多くの方にこの素晴らしいセキュリティ機能を持つプラグインを知って頂きたいと考えていますので、もし周りにWordPressを使っているが同プラグインを知らない人がいたら教えてあげてほしいなと思っています。

このプラグインの普及により、たくさんの方がWordPressの外部攻撃を防げるようになることを祈るばかりです。

タイトルとURLをコピーしました