SiteGuard WP プラグインとは

WordPressは、ブログや固定記事を用いたWebサイトを構築するのに世界中で使われていますが、それは、それだけ、世界中の悪意ある攻撃の対象になりやすいということでもあります。
WordPressでも、総当り攻撃、リスト化したID・パスワードで不正ログインを試みる攻撃が日常的に行われています。
こうした不正ログインに対応するプラグインのひとつがSiteGuard WP プラグインです。
このプラグインでは、総当り(ブルートフォース)攻撃、パスワードリスト攻撃などWordPressの管理画面に不正にログインやコメントスパムに対応する機能が搭載されています。

1-1
このプラグインは、レンタルサーバーのロリッポやヘテムルなどWordPressのセキュリティ対策プラグインとして推奨されていますし、日本企業が開発しているため、Webサイトのヘルプや解説も日本語表記です。
セキュリティ対策プラグインは、同じ機能を搭載したプラグイン同士を、同時に有効化してしまうと機能のバッティングが問題になるため、どんなプラグインを導入するか事前に検討する必要がありますが、不正ログイン対策においては、初心者でも、とっつきやすいセキュリティプラグインだと思います。
ここでは、Site Guard WPプラグインの設定方法をまとめています。

 

管理ページアクセス制限

2-1

WordPressの管理画面URLは、http://ドメイン名 /wp-adminです。
WordPressのログインURLは、http://ドメイン名 /wp-login.php です。
レンタルサーバー環境では、管理画面URLに接続しようとすると、ログイン画面が出てくるので、意識したことがないという方もおられるかもしれませんが、ログイン画面URLは後者となります。
『管理ページアクセス制限』では、管理画面を保護する目的で、ログインしていないPCからの管理画面のアクセスに404エラーを返します。つまり、ログインURLからのログインを行わす、直でWordPressの管理画面URLに接続しようとすると、404エラーを返すという設定です。ログインしてから24時間以上経過した場合も、再度、ログインする必要があります。

補足
mod_rewriteとは、Web サーバーソフト『Apache』において、URLの書き換え、リダイレクトなどを行う拡張機能であり、設定には『.htaccess』も利用します。
Apacheは世界でもっとも利用されているWebサーバーソフトであり、『.htaccess』はApacheの設定ファイルのひとつです。

 

ログインページ変更

 

3-1

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能であり、ログインページ(wp-login.php)の名前を任意に変更することができます。初期値は、「login_<5桁の乱数>」ですが、自分の好きな英数字、ハイフン、アンダーバーを用いて、好きな名称に変更することができます。また、ここで設定されたログインページの情報は、レンタルサーバーのFTP経由でアクセスできる『.htaccess』に記載されています。

 

画像認証

4-1

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能で、ログインページやコメントページなどに、画像認証機能を追加することができます。デフォルトでは、「ひらがな」設定です。日本語に依存した文字列ですから、異国人の攻撃に対する、これら攻撃に対するセキュリティが向上します。

 

ログイン詳細エラーメッセージの無効化

ユーザーアカウントを調査するような攻撃を受けにくくするための機能です。ログインに関するエラー情報が詳細だと、ユーザー名、パスワード、画像認証のどの部分にエラーがあるのかなど、攻撃者に不必要な情報を与えてしまいます。そのため、あえて、ログインに失敗したときは、同一のエラーメッセージを表示します。

ログインロック

5-1

指定複数回、連続でログインに失敗したと、接続元のIPアドレスを指定時間の間、ロックします。こうすることで、短時間に高速で膨大な数の不正ログインを試そうとする機械的な攻撃からの防御に備える仕組みです。

 

ログインアラート

6-1

ログインしたことをユーザーにメールで知らせる機能で、不正ログインに気づくのが早くなります。メールの送信先は、WordPressの管理画面『設定』>『一般』で登録したメールアドレスになります。
表示されている%文字列%は、指定された情報を動的に取得する書式です。たとえば、サブジェクト「%SITENAME%にログインがありました」というのがメールの件名に相当するため、私のメールにはWordPressの管理画面『設定』>『一般』に登録しているサイトネーム『魔獣帝国にようこそ』が取得されています。同様に、「メール本文」と書かれている記述も、実際にメールが送られてくると、具体的な情報が自動的に取得されて送られてきます。

フェールワンス

正しいユーザー名やパスワード、画像認証でログインしても、あえて1回、ログインを失敗します。攻撃者に対して、不正ログインに失敗したような挙動をとり、正しいアカウントも誤ったアカウントであるかのようにみせかけることでセキュリティの向上をはかります。

 

ピンバック無効化

ピンバック機能を無効にし、悪用を防ぎます。ピンバック機能とは、WordPressが自動的に指定したサイトに記事更新などを通達する仕組みで、これが悪意ある攻撃により悪用され、第三者を攻撃する踏み台に使われるリスクがあります。いわゆるDDoS攻撃の踏み台です。DDoS(分散DoS攻撃:Distributed Denial of Service attack)とは、ネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせ、機能停止させてしまう攻撃で、WordPressのピンバック機能を悪用し、WordPressを使っているセキュリティが脆弱なマシンが一斉に悪用され、DDoS攻撃に悪用されるという事例が報告されています。

更新通知

7-1

「WordPressの更新」、「プラグインの更新」、「テーマの更新」があるとき、管理者にメールで通達します。
なぜ、更新の通達がセキュリティなのか疑問に思う方もいるかもしれませんが、OSのアップデートがセキュリティ対策の基礎中の基礎と同じ理屈です。
アップデートには、機能追加といった拡張プログラムの追加もありますが、バグ修正のパッチを当てる場面も多いです。セキュリティホールとは、セキュリティ上の欠陥であり、これらプログラムの脆弱性をついて、悪意ある攻撃にさらされます。そのため、WordPress、プラグイン、テーマも最新の状態で使うことがセキュリティ上でも好ましいといえます。

インストールとWAFチューニングサポート
インストールとWAFチューニングサポートの設定方法は、以下の記事に詳しく書いています。WAFチューニングサポートについては、レンタルサーバーがSiteGuardのWAF(Webアプリケーションファアウォール)を導入していることが前提になりますが、興味がある方は、ご確認ください。

WordPress用『Google AdSense公式プラグイン』 403エラー(3)Siteguard WPプラグインによる除外設定

WAFについての概要、WAFの除外設定の意味に関しては、以下の記事に記述しています。

WordPress用『Google AdSense公式プラグイン』 403エラー(1)

WordPress用『Google AdSense公式プラグイン』 403エラー(2)「.htaccess」による除外設定