「SiteGuard WP Plugin」セキュリティ対策プラグインの設定を説明します。
もくじ
SiteGuard WP Plugin
SiteGuard WP Pluginとは
簡単に説明しますが、このプラグインで出来る事は、「ログインURL」の変更「ログイン履歴」が確認が出来ます。
インストール
「ダッシュボード」➡「プラグイン」➡「新規追加」➡「SiteGuard」➡「インストール」をクリック➡「有効化」
設定方法
「ダッシュボード」➡「SiteGuard」クッリクします。
管理ページアクセス制限
変更したら、「変更を保存」クリックして次に進みます。
ログインURLの変更設定
このログインURLの変更とは、デフォルトで決められているログインURLを好きな様にログインURLに変更出来ますので、第三者には分かり難い様になります。
今までデフォルトのログインURLは、https://free-llife.com/wp-admin/
変更可能な部分は○○○○です。https://free-llife.com/○○○○に変更出来ます。
更新2020-02-29
✅をいれましょう。 「管理者ページからログインページへリダイレクトしない」
第三者が/wp-admin/でログインしようとすると「404 Not Found」でページを表示します。
- 変更したら、「変更を保存」クリックして次に進みます。
画像認証
ログインの画面に、セキュリティ対策として画像認証も設定できます。
好みで選択して決めれば大丈夫です。
変更したら、「変更を保存」クリックして次に進みます。
ログイン詳細エラーメッセージの無効化
ONにします。
第三者が、ログインを失敗した時に、ログインID、パスワードどちらが間違いっていても、同じエラーメッセージを表示してくれる設定です。
変更したら、「変更を保存」クリックして次に進みます。
ログインロック
第三者が、ログインを連続でした場合、ロックさせれる設定です。
ONにして変更したら、「変更を保存」クリックして次に進みます。
ログインアラート
ログインしたら登録メールアドレスにお知らせメールが届く設定です。
もしも第三者が、ログインした場合も確認できます。
ONにして変更したら、「変更を保存」クリックして次に進みます。
フェールワンス
リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
OFFにして変更したら、「変更を保存」クリックして次に進みます。
XMLRPC防御
ピンバック機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
ONにして変更したら、「変更を保存」クリックして次に進みます。
更新通知
ワードプレスの更新、プラグインなど更新がある場合、メールアドレスに更新通知が送られてきます。
ONにして変更したら、「変更を保存」クリックして次に進みます。
WAFチューニングサポート
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
OFFにして変更したら、「変更を保存」クリックして次に進みます。
詳細設定
IPアドレスの取得方法を設定します。通常はリモートアドレスを選択してください。Webサーバーの前段にプロキシーサーバーや、ロードバランサーが存在して、リモートアドレスでクライアントのIPアドレスが取得できない場合は、X-Forwarded-ForからIPアドレスを取得できます。レベルは、X-Forwarded-Forの値の右端から何番目かを表します。
変更したら、「変更を保存」クリックして次に進みます。
ログイン履歴
ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。
不正ログIN履歴がある場合、証拠になりますので日時、ログイン名、IPアドレス、タイプは、画像等に保管しておきましょう。
ログは、1万件しか保存できません。
最後
下記のプラグインを合わせて入れておくと、セキュリティ対策が強化されます。
参考記事
ブログ運営で、忘れがちな事とはセキュリティ対策です。PCにはセキュリティ対策ソフト入れてるから大丈夫!、契約しているサーバーは信頼性が高いから安心!、これらの事を思いながらブログ運営していた僕ですが、自分のサイトがあるのはネット上にあるのですから、悪い人に狙われたらIDもパスワードも簡単にばれてしまうのです。
特にワードプレスのIDは、悪い人には、簡単にバレてしまうのです。
知らなかったら、驚きですよね!
僕も数ヵ月知らずに、ブログ運営してました。
是非、セキュリティ対策は、入れておいた方が良いプラグインです。
