私の忘備録シリーズです。
WordPressでプラグイン「SiteGuard WP Plugin」を入れたので、初期設定等確認していこうと思います。
難しいことは書けませんが、自分の頭の整理のためにもアウトプット!
- プラグインSiteGuard WP Pluginの設定について知りたい
設定確認も必要ですが、なんにつけてもプラグインは有効化を忘れずに!
項目をチェックしてみる
各項目の情報を確認してみました。
管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
WordPress内「SiteGuard WP Plugin」ダッシュボード(設定画面)の説明より
と、書いてあったのですが・・・ちゃんと理解できていない残念な私。
公式サイトを確認して読んでみる。つまり・・・
「ログインしていないIP(接続元)からは管理画面にはアクセスできないよ。管理画面行きたいならログインページに行ってね!」
ということかなと思います。違ってたらごめんなさい(赤ペン先生いないから正解はわからないですが)
管理画面へのアクセス制限をする項目。ということですね!
管理する側も制限が入るのはちょっとめんどそう?
- 同じ端末でもIP変わったらやりなおし
- 24時間制限など
あった方がセキュリティ的には良さそう?初期値では適応されていないようです。
ログインページ変更
ログインの認証ページのアドレスを変更するもの。
初期設定ではWordPressのログインページの初期値は「ドメイン名」+「/wp-login.php」になっています。
ドメインのあとが決まっているので、そのことを知っている人なら簡単にアクセスできる状況なので、それを防止するために「ドメイン名」+「指定の値」に設定できる。
初期値で自動で設定されていました。
画像認証
画像認証、たまに見る「ぐにゃぐにゃのひらがな」を解読して入力しないと実行できなくするもの。
- コメント入力画面
- ログインページ
- パスワード確認
- ユーザー登録画面
上記4つに対応しているようです。
お問い合わせフォームは対応していないので、セキュリティ対策したい人は別途プラグインの準備が必要です。
初期値ではチェックが入っています。
ログイン詳細エラーメッセージの無効化
最初に簡易説明だけ見た時はちょっと意味が分からなかったです。
ログインに失敗した際に「パスワードが違うよ」「アカウントが違うよ」とか悪い人にも丁寧に教えてくれるので、それを防止するためのものでした。
エラーの絞り込みされてしまうのでちょっと危険
何がエラーなのかの特定しにくいように、詳細を表示しない(単一メッセージにする)機能のようです。
自分がログインする時にもメッセージが無いので分かりにくくはなりますが、そこはしっかり管理して対策するしかないかなと思います。
初期値はチェックが入っています。
ログインロック
何回もログイン失敗する接続元をロックする!読んで字のごとしな機能です。
しつこく間違うとたとえ本人でもロック!ロック!されます。
それ程長い時間はロックされないようですが、ロボットなんかで連続攻撃してくる相手には有効そう?(ロック時間は調整可能)
初期値はチェックが入っています。
ログインアラート
ログインがあったら都度メールで連絡をくれます。
不審なログインがあったら早めに気付けるので良いですね。
初期値はチェックが入っています。
フェールワンス
ログインした際に内容があっていても1回失敗を返すようになります。
一回失敗した直後に同じIDとパスでログインしないといけないので、リスト系の攻撃に有効な機能みたいです。
当たり前ですが自分も毎回2回連続でログイン作業しないといけないのでちょっと手間は増えてしまいます。
初期値はチェックが入っていません。
XMLRPC防御
知識ない私は「XMLRPC」がそもそもなんのこっちゃでした・・・ので調べてみました。
「XMLRPC」とは?
「XMLRPC」というのは「異なるシステム間の通信を標準化するシステム」らしいです。
色々情報を見てみましたが細かいところはちょっとご自分で調べていただくとして(汗)脆弱性の報告とかもろもろ危険そうな記事があり、大手のレンタルサーバの会社なんかでも対策を立てているという情報がありました。
無効化した方がいいのか?
こちらのシステムを使用したプラグインとかがあると影響があるかもしれないそうです。逆に、こちらのシステムを使ったプラグインやテーマでないのであれば、無効化しても問題なさそう。
セキュリティ面でのみ考えると、特に理由が無ければこちらの選択肢である「ピンバック無効化」よりも「XMLRPC無効化」の方が良さそう。
初期値はピンバック無効化になっています(画像は私が設定を変更した後のもの、私はXMLRPC無効化にしています)
ユーザー名漏えい防御
私が別途いれている「Edit Author Slug」と機能的には同じかなと思います。
機能としては「サイトURL+?author=数字」へアクセスすると、サイト管理者名がバレてしまうのを防止する為、別の名前や文字列にする機能です。
更新通知
機能名通りですね。
プラグインやWordPress周りの更新通知をメールでお知らせしてくれます。
テーマやプラグインも含め更新処理をしないでいるとセキュリティ上よくないので設定しておくと安心感アップ。
WAFチューニングサポート
説明ページに「JP-Secure製WAF SiteGuard Server Editionが導入されていて~」とあるので、導入してないのでこちらはスルーしています。
導入している際の遮断対策?のルールを作成するのだそうです。
こちらはちょっと詳しく調べてないのでごめんなさい(。-人-。) ゴメンネ
ログイン履歴
そのままですね!
こちらはあると良い機能だと思います。
ログイン履歴の一覧が見れます。
おかしなアクセスが無いか定期的にチェックしてみると安心だと思います。
たまにおかしなアクセス(ブロックされた)履歴とかあってちょっとドキッとします
更に確認したい人は詳細説明へのリンクへ
機能名をクリックして設定画面に入ると、詳細説明へのリンクがあります。
もっとちゃんと確認したい人はそちらで確認してね!
まとめ
ほぼ説明に書いてあることを書き出しただけのようなメモですが・・・アウトプットすることで頭に入ってくるので「これは何をやっている機能かな?」という自分の再確認のためにも書いてみました。
参考になれば幸いです。
