いろいろなWordPressのセキュリティ対策が、幕の内弁当のように1つのプラグインに入っている、とっても便利なものに「SiteGuard WP Plugin」というのがあります。
ホームページやブログを運営している管理者の方は、WordPressをなんとか不正アクセス攻撃から守ろうとして、ログインチェックも行い、目的に応じて何種類もプラグインを導入し、細かい対策を駆使して頑張っています。
ですから、できる限り楽で、設定も簡単なプラグインがあったら、とっても嬉しいですよね〜 SiteGuard WP Plugin はそんなWordPressのセキュリティ対策を1つにまとめてくれているプラグインです。
SiteGuard WP Plugin を使わない場合
「SiteGuard WP Plugin」を使わない場合はどのような対策を行うことが多いのか?といいますと・・・・
ひととおりの設定として、
まずは、WordPressのログイン画面と、管理フォルダにBASIC認証(アクセス制限)をかけておきます。
自分のサイトのアドレス/wp-login.php ←このファイル自体にアクセス制限をし、/wp-admin/にもアクセス制限をかけ、IDとパスワードを知っている人でないとエラーになるようにします。ただし、admin-ajax.phpだけは除外しておきます。
ただ、BASIC認証も完璧ではありませんので、WordPressの管理画面にログインしたユーザーの履歴を見えるようにするプラグイン、ユーザー名が簡単にバレないようにするプラグインなどの導入(※1)を行います。
それでも、1分に数回、150回から300回繰り返されるというブルートフォースアタックでは、ログインされてしまうかもしれません。
ですから、次は、WordPressのログイン回数を制限するプラグイン、たとえば、Simple Login Lockdown(※2) のようなものがありますので、このプラグインを導入します。画像認証ができるプラグインなどを選ぶと更にWordPressのセキュリティ対策が強化できてよいですね。
先ほど、wp-login.php の対策を行いましたが・・・まだ、ピンバック攻撃(DDoS攻撃)というものがあります。
WordPressのPingback機能を悪用したものですので、このPingback機能を無効化してしまうプラグイン「Disable XML-RPC Pingback」などを導入したり、
xmlrpc.phpgへのアクセスを制限したりする対策を行います。
場合によっては、管理画面上からテーマファイルを編集できないようにしてしまってもよいとおもいます。
こんな風に、SiteGuard WP Pluginを使わない場合は施策は多岐にわたり、手間も多いですね。
(そのかわり、1つ1つの設定の自由度は上がるかもしれません)
SiteGuard WP Plugin を使った場合
SiteGuard WP Pluginをインストールしてください。
導入すれば、ここまでの対策のほとんどが1つのプラグインで済んでしまいます。
- wp-login.phpにアクセス制限
- wp-adminにもアクセス制限/admin-ajax.phpを除外する
- ログインしたユーザーの履歴を可視化する
- ブルートフォースアタック対策でログイン回数を制限する
- ログイン画面に画像認証をつけることができる
- ピンバック攻撃対策をする
※1ユーザー名を変更するプラグインは、WordPressのバージョンが最新4.4の場合は必要ありません。
※2Simple Login Lockdownは最新バージョンには対応していません