「SiteGuard WP Plugin」は、WordPressを狙う攻撃からブログを守る、導入必須のプラグインです。
悪質なアタックで大事なサイトを壊されないように、早い段階で導入しましょう。
それでは、機能と設定方法を解説します。
プラグイン導入必要度:★★★★★
目次
「SiteGuard WP Plugin」をインストールする
プラグイン > 新規追加 より、「SiteGuard WP Plugin」をインストールして、「有効化」します。
「ログインページURLが変更されました。」というメッセージが表示されます。
新しいログインページのURLをブックマークしましょう。
SiteGuard WP Plugin の設定
管理画面 > SiteGuard > ダッシュボード を開きます。
管理ページアクセス制限
「ON」にします。
外部からの管理ページに対するアクセスを防ぎます。
ログインページ変更
「ON」にします。
「変更後のログインページ名」をブックマークします。
ログインページを忘れてしまった場合は、下記のサイトに確認方法が記載されていますので、確認してください。
FAQ | SiteGuard WP Plugin | 国産WAFのJP-Secure
画像認証
「ON」にします。
海外からの攻撃に備えて、ひらがなにします。
ログイン詳細エラーメッセージの無効化
「ON」にします。
ログインに失敗した原因を表示されると、その失敗を回避してログインするヒントを与えてしまいます。
そんなチャンスはあげません。
ログインロック
「ON」にします。
短時間に何度もログインに失敗するというのは、不正なアクセスの危険性が高いのでロックします。
ログインアラート
「ON」にします。
管理画面にログインのするたびにメールが送られてきます。
怪しいアクセスがあったら、パスワードやログインページの変更をします。
フェールワンス
「ON」がお勧めですが、頻繁にログインする場合は作業が滞るので「OFF」にします。
リスト攻撃対応として、ログイン時に必ず1回、ログイン・エラーを返します。
XMLRPC防御
「ON」にします。
PingBack機能を無効にします。
過去にWordPressサイトに対してでPingBack機能を使った大規模なDDoS攻撃が発生したことがあるので、ガッチリ防御します。
「XMLRPC防御」は、使用中のプラグインに影響があると困るので「ピンバック無効化」を選びます。
更新通知
「ON」にします。
メールで更新情報のお知らせを受けたら、速やかにアップデートしましょう。最新版を使うことが、セキュリティ上のトラブルを避ける最も有効な手段です。
WAFチューニングサポート
「OFF」にします。
ご認知による、正常なアクセスにエラーを返す処理を回避するルールを追加します。
今回は使いません。
設定は以上です。
っふーーー、成し遂げた感がありますね。
お疲れさまでした。
まとめ
セキュリティ対策はプラグインを導入して終わりではなく、常に各種機能の最新バージョンを利用することが重要です。
ルーチン化して負担なく運用できたら理想的ですね。
