TECH BOX

Technology blog from Web Engineer

この記事は最終更新日から6年以上経過しているため正確ではないかもしれません

WordPressのセキュリティ強化にSiteGuardを導入しよう

siteguard_wp_plugin_350

WordPressは世界中で使われているオープンソースなのでよく狙われます。
そのため、構築時にはセキュリティも考える必要があります。

ただし、セキュリティも無料ではないので予算によってはできない部分もあります。
そういったときにはJP-SecureSiteGuard WP Pluginをおすすめします。

何が設定できるのか?

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログイン詳細エラーメッセージ無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート

公式サイトにそれぞれ詳しく書かれているので参照して下さい。
※プラグインの設定画面にあるFAQのリンクが404なので修正してほしいです

site_guard_cap

日本製で日本語なのでわかりやすいです。

最低限有効にしておきたい設定

画像認証

ログインページに画像認証を追加します。
これにより機械的なアタックは減少させられると思います。
また、日本国内でのみの運用なら画像認証をひらがなにしておくのがいいのでは?

site_guard_cap2.png

login

ログイン詳細エラーメッセージの無効化

エラーメッセージでユーザー名を調査されたりすることを防ぐために、何を間違えても同じメッセージを表示します。

ログインロック

機械的にログインを試みようとした場合に、指定期間内に指定回数間違えたらロックを行うことができます。

キャプチャでは厳しい条件にしてますが、条件は導入時によく検討して下さい。

site_guard_cap3.png

よりセキュリティを強化するために

フェールワンス

もし、セキュリティをもっと強化したい場合はフェールワンスを有効化することをおすすめします。
これは正しいログイン情報を入力しても必ず最初はログインを失敗させる機能になります。
Site Guardプラグインの場合はログイン失敗後、5秒以降、60秒以内に再度正しいログイン情報を入力するとログインができます。


その他の機能については公式サイトで確認をして下さい。
※このプラグインはマルチサイト化している場合は使えないようなので要注意です