ロリポから先日こんなメールが。
WordPressセキュリティプラグイン インストールのお願い【ロリポップ!】
セキュリティとかお願いとか、重要度の高さが伺えます・・・。
メールを読んでみると、どうやらロリポとして『Site Guard WP Plugin』というセキュリティー対策プラグインをオススメしていくことになったようです。
更にメールを読み進めてみると、『2014年10月24日以降に簡単インストール機能でWordPressをインストールした方はインストールしなくても使える』、という旨の記載が…。
これは、簡単インストールのWPにはデフォルトでこのSiteGuard WP Pluginというプラグインもインストール済み = サーバー会社が推奨している、ということですよね!
導入前に、注意することは2個!
同時に利用するプラグインに注意!
公式サイトによると、『WordPress HTTPS (SSL)』というプラグインと同時に、『SiteGuard WP Plugin』のログインページ変更機能を使うと、WordPressにログインができなくなるそうです。
なので、利用してるプラグインを確認します。
私が利用しているセキュリティ関連のプラグインは、…何も使ってませんでした…アレ(;・∀・)?
ロリポの「WPへの攻撃に対する検知・防御機能」でhtaccess編集していたら注意!
これまでのロリポでは、『WordPressへの攻撃に対する検知・防御機能を導入』しており、
ログインページへの総当たり攻撃などを検知すると、「.htaccess」によるログインページ
(wp-login.php)へのアクセス制限がされるという便利機能がついていました。
これ便利でしたね〜(゚∀゚)!
これでアクセス制限されると、.htaccessファイルを編集しないとログインできなくなってしまいます。プラグインを導入してもアクセス制限は解除されないので、インストールする前に.htaccessのファイルを編集しておきましょう。
導入前に、自分の環境を調べておきます。
上記2個をクリアにした所で、その他の設定などを確認します。
私は、以下2点の設定をしていたので、念のため非適用に。
1).htaccessで、ログイン画面にベーシック認証
2).htaccessで、wp-config.phpにアクセス制限
該当の記述部分全体をコメント化して、適用されないようにしておきます。
準備OK!インストールして設定!
公式プラグインとして登録されているので、管理画面のプラグインの新規追加で「SiteGuard WP Plugin」で探せば出てきます。ポチットナ!
設定について
管理メニューはこんなにあります!
メニューの一番上にあるダッシュボードは、全ての設定状況が確認できます。
インストールしただけの状態で、既にONの設定になっているものもあります。
ここからは、私の設定したポイントを解説と共にご紹介します。
SiteGuard WP Plugin、私の設定は以下のとおり!
管理ページアクセス制限 ON
WPの管理画面にログインせずに、管理画面のどこかのページを参照ししようとするのを検知してくれます。
通常はログインしていないと他のページ参照できないので、これはアクセス制限しておくべき項目ですね♪
ログインページ変更 ON
ログインページ(wp-login.php)の名前を変更できます。
全てのWPのログイン画面のURLは同じなので、これが独自のURLになっているだけでも効果は大きいです!
画像認証 ON
管理画面へのログインやコメント投稿に、画像認証を付けれます。
これがあると、不正ログインなどされにくくなりますので、これは素敵機能ですね!
ログイン詳細エラーメッセージの無効化 ON
公式サイトを見ると、「ログインに関するエラーメッセージがすべて同じ内容になります。 」とあります。
ユーザ名の存在を調査する攻撃を受けにくくするための機能です・・・だそうです(苦笑)。
よく分からないのですが、ONにするデメリットが考えつかなかったので、ONです♪
ログインロック ON
ログインに失敗する回数が設定値に達すると、そのIPに対して接続のロックをかける機能です。こういう機能のプラグイン、他にもありますよね!
ログインアラート ON
ログインすると、ログインユーザーにメールが自動で送信される機能です。
不正なログインがあった際に気付くように、の機能ですね。
フェールワンス OFF
ログインの際に、成功していても1回目はログインに失敗するという機能です。
その後、5秒以降60秒以内に再度正しいログイン情報を入力すると、ログインに成功するそうです。
リスト攻撃でログイン成功しても、1回目は失敗するからログイン突破されにくいということですね。
ログインしようとする度に、2回もパスワードを入力するのは手間かな…ということでOFFにしました。
ログインアラートで不審なのが出てきたらONにしようかな…って考えてます。
ピンバック無効化 OFF
たくさんピンバックを送信することによって、サーバーに負荷をかけるという攻撃を受けないために無効化する機能です。
WP Total Hacksでセルフピンバック無効は設定してますが、なんでもかんでも無効化するほど大量のピンバックを受け取ってないので(弱小サイトなのでw)、一旦OFFにしました。
更新通知 ON
WP・テーマ・プラグインの更新情報をメールでお知らせしてくれるそうです。
メール来て困るものでもないので、ONにしました。
WAFチューニングサポート OFF
これまでもWAF使ってどうこうってしたことがないので、OFF。
以上です!
まとめ…特に何もしてなかったって人は、これ入れとけば安心かも。
不正ログインされて困る情報ないから…って後回しにしている方もいるかもしれません。
自分のサイトは大丈夫でしょう…って考えてる方もいるかもしれません。
でも、意外と、サーバーのアクセスログ見ると、深夜帯にログイン画面へのアクセスが複数回あったりするんです。
小さな中小企業のサイトでも、(co.jpドメインだからとかあるのかな?)意外に不正ログインを試されてたりとかがあるんです。これマジで。
何かあってからでは遅いので、プラグインをインストールするだけでも、何か対策を取るようにしてみてくださいね♪
