MENU
プログラミング勉強中。
  1. ホーム
  2. ソフトウェア・ツール
  3. WordPress
  4. 【WordPress/プラグイン】SiteGuard WP Pluginの設定をする

【WordPress/プラグイン】SiteGuard WP Pluginの設定をする

WordPress
kaito
当ページのリンクには広告が含まれています。

私の忘備録シリーズです。

WordPressでプラグイン「SiteGuard WP Plugin」を入れたので、初期設定等確認していこうと思います。
難しいことは書けませんが、自分の頭の整理のためにもアウトプット!

なんにつけてもまずは有効化を忘れずに。

目次

項目をチェックしてみる

管理ページアクセス制限

ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。

WordPress内「SiteGuard WP Plugin」ダッシュボード(設定画面)の説明より

と、書いてあったのですが・・・ちゃんと理解できていない残念な私。
公式サイトを確認して読んでみる。つまり・・・

「ログインしていないIPからは管理画面にはアクセスできないよ。管理画面行きたいならログインページに行ってね!」

ということなのか?違ってたらごめんなさい(赤ペン先生いないから正解はわからない)
決まったIP(端末と場所?)からしかログインしない場合はいいけど、それ以外は都度ログインページにいけってことかな?

まぁ、管理画面へのアクセス制限をする項目。ということですね!

管理する側も制限が入る(同じ端末でもIP変わったらやりなおし、24時間制限など)のはちょっとめんどそう。あった方がセキュリティ的には良さそうだけど・・・初期値では適応されていなかったので、私はとりあえずそのままにしてます。

ログインページ変更

ログインの認証ページのアドレスを変更するもの。

初期設定ではWordPressのログインページの初期値は「ドメイン名」+「/wp-login.php」になっています。
ドメインのあとが決まっているので、そのことを知っている人なら簡単にアクセスできる状況。
それを防止するために「ドメイン名」+「指定の値」に設定できる。

初期値で自動で設定されているっぽい。

画像認証

画像認証、ぐにゃぐにゃのひらがなを解読して入力しないと実行できなくするやつです。

  • コメント入力画面
  • ログインページ
  • パスワード確認
  • ユーザー登録画面

上記4つに対応。
お問い合わせフォームは対応していないので、セキュリティ対策したい人は別途準備が必要。

初期値はチェックが入っているのでそのまま。

ログイン詳細エラーメッセージの無効化

最初簡易説明だけ見た時はちょっと意味が分からなかった私。

ログインに失敗した際に「パスワードが違うよ」「アカウントが違うよ」とか悪い人にも丁寧に教えてくれちゃうので、それを防止するため、そもそも何がエラーなのかの特定しにくいように、詳細を表示しない(単一メッセージにする)機能のようです。

初期値はチェックが入っているのでそのまま。

ログインロック

何回もログイン失敗する接続元をロック!読んで字のごとし!
しつこく間違うとたとえ本人でもロック!ロック!
それ程長い時間はロックされないようですが、ロボットなんかで連続攻撃してくる相手には有効そう?

初期値はチェックが入っているのでそのまま。

ログインアラート

ログインがあったら都度メールで連絡くれる。不審なログインがあったら早めに気付けるので良いですね。

初期値はチェックが入っているのでそのまま。

フェールワンス

わざとログインを1回失敗。一回失敗した直後に同じIDとパスでログインしないといけないので、リスト系の攻撃に有効とのこと。ただ、当たり前ですが自分も毎回2回連続でログイン作業しないといけないのでちょっと手間。

初期値はチェックが入っていない。使うか考え中。

XMLRPC防御

知識ない私はもちろんなんのこっちゃでした・・・が。
調べてみると「XMLRPC」というのは「異なるシステム間の通信を標準化するシステム」らしいです。


んで、いろいろ見てみましたが細かいところはちょっとご自分で調べていただくとして(爆)脆弱性の報告とかもろもろ危険そうな記事が・・・とりあえず大手のレンタルサーバの会社なんかでも対策を立てているごようす。

こちらのシステムを使用したプラグインとかがあると影響があるかもしれないですが、セキュリティ面では「ピンバック無効化」よりがっつり「XMLRPC無効化」の方が良さそうかなと。

初期値はピンバック無効化になっています。
私はXMLRPC無効化に変更。

【XMLRPC無効化設定画面】

ユーザー名漏えい防御

私の場合別途いれている「Edit Author Slug」と被ってしまっているので、こちらは使ってません。
機能としては「サイトURL+?author=数字」へアクセスすると、サイト管理者名がバレてしまうのを防止する機能です。

更新通知

機能名通りですね。プラグインやWordPress周りの更新通知をメールでお知らせしてくれます。テーマやプラグインも含め更新処理をしないでいるとセキュリティ上よくないので設定しておくと安心感アップ。

WAFチューニングサポート

説明ページに「JP-Secure製WAF SiteGuard Server Editionが導入されていて~」とあるので、導入してないのでこちらはスルーしています。導入している際の遮断対策?のルールを作成するのだそうです。
・・・・ちょっと詳しく調べてないのでごめんなさい(。-人-。) ゴメンネ

ログイン履歴

そのままですね!結構あるとありがたいと思います、個人的に。
ログイン履歴一覧が見れます。おかしなアクセスがないかたまにチラ見してみると安心かも。

まとめ

ほぼ説明に書いてあることを書き出しただけのようなメモですが・・・アウトプットすることで頭に入ってくるので、何をやっている機能かな?という再確認のために書いてみました。

ちなみに、機能名をクリックして設定画面に入ると詳細説明へのリンクがあるので、ちゃんと確認したい人はそちらで確認してね!

参考になれば幸いです。

WordPress
siteguard wp plugin wordpress セキュリティ プラグイン
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次