【ブログ運営はじめの一歩】Vol.4 WordPressセキュリティ対策のSiteGuard WP Pluginを解説
こんにちは!夫婦でブログを運営しています、まきすずです!
もちろん、契約サーバーによっては「セキュリティやっていますよ!」というところもあるかと思います。
ただ、内容を理解せずに「セキュリティ対策OK」という言葉だけを信じて、「なんのセキュリティ対策を行っているのか確認していない!」ということはありませんか?
実際には、サーバーによってはWordPress運営とは関係ないところのセキュリティ対策はしているよ、ということもあったり・・・
もちろん難しいことはなく、専用のセキュリティプラグインを導入するだけなので初心者の方たちも簡単にできます!
早速みていきましょう!
なぜセキュリティ対策が必要なのか?
WordPressは世界中の人が使うことができるもの。世界の人々が使いやすいように日々、開発をしています。
良くも悪くも世界中の人が使えるということは、悪巧みを考える人も残念ながら一定数はいます。そういった方々が他人のサイトに潜り込み、サイトを破壊するというようなことをイタズラ間隔でしてしまうということも発生しています。
つまりそれがウイルスです。
ウイルスに簡単に入られないようにするためにセキュリティを強化する必要があるのです。
わたしもこんな経験をしています!
お客様のサイトで、「ウイルスが入った〜」って話がたまにあって・・・
え!!やばいね。どうするの?そうゆう時・・・
ウイルスの原因をとことんつきつめるよ。。サイトは消せないから、悪いファイルがないかというのをずっと探して削除して・・・と、根気よくやっているよ・・・(涙
実はわたしもお客様のサイトで、ウイルスにかかったんだけどどうにかしてくれ〜と相談されたことが何度かあります。TOPページが表示されなくなったり、WordPressだと勝手に変な画像がアップされたり・・・。
相談されたらまずは、「何が原因か」を突き止めます。
が、この原因の特定が本当に大変。。サイト規模の大小問わず、WordPressのサイトには無数の設定ファイルがあり、階層構造が何段階にもなっています。
ウイルスを削除するには、ウイルスファイルを削除すれば元通りに戻るかもしれません。しかし、この判断は初心者の方にはなかなか難しいもの。
一つでも大切なファイルを削除してしまうと、ブログが表示されなくなる可能性があるのです!
そんなことにならないように、最初からセキュリティを高めてウイルスに乗っ取られないサイト作りをしたいですよね!そのため、今回はセキュリティ対策方法をご紹介します!
とはいえ、セキュリティ対策って大変そう。難しくない?と思っている方も多いと思いますが、今回は簡単にできるプラグイン「SiteGuard WP Plugin」!
このSiteGuard WP Pluginなら、パパッと設定してしまうだけで、セキュリティがぐんっと上がりますので、WordPressサイトでは必須なプラグインです!(もちろん無料)
SiteGuard WP Pluginとは
SiteGuard WP Pluginは、先に述べたようにセキュリティを向上させるためのプラグインです。日本語対応で、簡単設定なのに、セキュリティ対策としてはおすすめのプラグインなのです!(中小企業や個人ブログを対象としています)
SiteGuard WP Pluginのセキュリティ対策としては以下が対応可能です。
- 不正ログイン防止
- 管理ページ(/wp-admin/)への不正アクセス防止
- コメントスパム防止
これだけ!?と思われがちですが、まずはこれをやることで十分なセキュリティ対策になります!他にもメリットが、
- 日本語対応でわかりやすい
- 初心者のためのわかりやすい設定画面
- WordPressをインストールした瞬間から設定可能
- もちろん無料
SiteGuard WP Pluginをインストールしよう
SiteGuard WP Pluginはセキュリティのためのプラグインなので、早く設定するに越したことはありません。WordPressをインストールしたら、すぐにインストールしてしまいましょう!
プラグインの新規追加から「SiteGuard WP Plugin」を探して、「今すぐインストール」をしてください。インストールできたら、「有効化」で使えるようにします!
有効化すると、実はここでログインURLが変わります!(変更前のログインURLをブックマークしておいた方は、この時点で変更を!)ログインURLが変わるので、早い段からインストールをおすすめする理由の1つです!
ログインURLが変更になりましたと、ページの上部にも表示されます!
SiteGuard WP Pluginをインストールすると、左のメニューバーの下の方にメニューが追加されるので、ここから細かい設定と、ログインURLの確認もできます。
インストール後の簡単な最低限の設定
SiteGuard WP Pluginをインストール直後は、最低限の設定がすでにしてある状態なので、ひとまずはこのままでもOK。ですが、わたしはちょっとだけ変更を加えています。
- 管理ページアクセス制限
「OFF」になっているものを「ON」に設定。ログインしていないIPからの進入を防ぎます。 - ログインページ変更
ここから新しいログインURLを確認できます。 - 更新通知
プラグインなどの通知が都度メールアドレスに届くので、本体のみ通知にしています。
「WordPressの更新」は有効のまま、他2項目は無効にしています。
こちらが最低限の設定でした!本当に特別なことはやっていません。では、次からはもう少し詳しくご紹介します!
SiteGuard WP Pluginの使い方
管理ページアクセス制限
管理ページをウイルスの攻撃から守るための機能です。ログインしていない状態でアクセスすると、404ページ(エラーページ)になります。
ログインすれば、エラーページになることはもちろんないので、通常にログインすれば全く問題なし。ウイルスのような、どこから進入してくるのか、どこのファイルをいじっているのかわからない、気がつかないところからの進入を防いでくれる役割をもっています。
ログインページURL変更
SiteGuard WP Pluginを入れると、自動でログインURLが変わりますが、ここに変更になった新しいログインURLが記載されています。
もちろん、設定当初からのURLも変更可能。数字だけではなく自由な名前がつけられます。忘れないけれど、わかりにくいURL名にしましょう。
画像認証
SiteGuard WP PluginのすごいところはログインURLが変わるだけではありません。この設定がONの状態だと、ログインする時に「ひらがな4文字入れる箇所」も追加され、よりセキュリティが強化されます。ひらがなのため、特に外国からの進入を完全ブロックできるというのがメリットですね。ちなみに、ひらがな以外も設定が可能です。
ひらがなのロックを破るようなシステムは非常に少なく、特にスパムの多い海外からのアクセスをより強力にブロックできるためです。
ただし、コメントを入れる箇所で外国人の方がコメントを書いてくれる予想がある場合には、ここだけでも英数字にしておいてあげてくださいね。
ログイン詳細エラーメッセージの無効化
こちらも初期設定のまま「ON」になっていればOKです。
ログインロック
こちらも基本的には、初期設定のままで問題ありません。機械的な進入(自動化されたウイルス)から守るための設定です。ログインの失敗数が、指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックしてくれます。
と難しく書きましたが、つまり、ログイン失敗の数が多い=管理者ではなくスパムの可能性が高いため、プラグインが勝手に判断してブロックしてくれるというわけですね!
例:3分以内に、3回ログインを間違えた場合は、5分間ログインをブロックする(正しいID/PWを入力しても、入れなくなります)
よりセキュリティを高めたいという方は、頻度や時間を短く設定しなおしてください。わたしは基本的には、初期設定のままです。
ログインアラート
ログインした時のログイン通知の設定です。自分でログインした場合も、通知が設定されているメールアドレスに届くので、邪魔だなと思う方は「OFF」にしても問題ありません。
フェールワンス
ログインの際、1度目のログインが必ず失敗するという設定です(正しいID/PWを入力した場合でも)。これは正直面倒に感じるので、基本的には「OFF」のままでOKです(毎回、ログイン操作が必ず2回必要になるため)。
XMLRPC防御
ピンバック、XMLRPCとは、通常の管理画面の投稿からではなく、何か別のサービスやプログラム等などの外部ツールにより、管理画面の操作等を行う仕組みのことです。
通常は初期設定の「ON」のままにしておけば問題ありません。しかし、何らかしらのXMLRPC機能のツールを使って管理画面を操作する場合には「OFF」にしないと接続しないといけませんのでご注意ください。
更新通知
ログインアラートと同様の通知設定です。こちらはWordPress本体やプラグインなどがアップデートされた時の通知を受け取るか止めるかの設定です。メールが邪魔だなと思う方は「OFF」にして問題ないでしょう。
プラグインをいくつも入れている方は、頻繁にアップデート通知がきます。
WAFチューニングサポート
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
こちらも「OFF」のままで問題ないので、このままにしましょう。
以上がSiteGuard WP Pluginの設定でした。実際に基本設定のままでも問題はありませんが、最低限の設定だけでもやることで、さらに使いやすくなります。
セキュリティー対策用のSiteGuard WP Pluginの導入から使い方までまとめ
いかがでしたか?思っているよりも簡単にできるのが、こちらのプラグインの魅力だと思います!
セキュリティ対策は、本当にあなどってはいけない部分!最初の設定は手間ですが、一度やってしまえばあとは何もしなくても大丈夫なので、最初だけ!と思ってぜひトライしてみてください。
わたしたちは夫婦でブログ運営のため、お互いに得意そうな方が設定周りの対応をするということで分担作業をしています!夫婦で始めることのメリットとして、二人で協力してできることですね。
もし夫婦でも、1人でもブログ運営に興味が湧いたらぜひこちらの記事もご覧ください!
また、「WordPressでブログをやってみたいけど、どのようにやっていいのかわからない!」という方向けには、全体概要の記事も用意しています!
コメント