簡単にセキュリティ対策!SiteGuard WP Pluginの設定と注意事項・WAF対策

シェアする

鍵

セキュリティ対策にオススメなSiteGuard WP Plugin。導入するだけで外部攻撃からWordPressを守る対策ができます!便利な反面、初心者が困ってしまうWordPress管理画面に入れないときの対処も書いてるので使い方・導入方法をみてください。

導入したら、履歴からログイン名とパスワードを無差別に入力し不正ログインを試みるブルートフォースアタックの的になってました。

ブルートフォースアタックとは
総当り攻撃とも言われてログイン名やパスワードをしらみつぶしに解読しようと不正ログインをくり返す攻撃です。アカウント名とパスワードが一致しなければパターンを替えて突破を試みてきます。

参考総当り攻撃|Wikipedia

ブログのデータを荒らされたり、変なプログラムを仕込まれたり、のっとられる前に、対策していきいましょう!WordPressのセキュリティ、サイトガードの使い方を初心者向けに説明するので、困ったときは詳細をチェックしてください。

スポンサーリンク

目次

WordPressのセキュリティを守るプラグイン!

WordPressの管理画面(wp-admin)への不正ログインを、あらゆる面から防ぐサイトガードプラグイン(WordPress.ORG 日本語)

  • このプラグインにある様々な機能はとくに、ブルートフォースアタック対策に特化しているともいえます。

さらにロリポップやさくら・へテムルなどのサーバーのファイアーウォールWAFの誤認の403を防ぐ機能もついてます。WAFを採用してないサーバーは不要。

これらの設定は、アクセス拒否を行うファイル.htaccess』に難しい記載をする知識が無くても管理画面のボタン1つで設定して、外部攻撃からWordPressを守ってくれる初心者のミカタです!

.htaccessとは
ページやディレクトリへのアクセス制限や、リダイレクト(転送)させる条件を書けるファイルです。

.htaccessをセットしたディレクトリとその下層に設定が反映されるけど、記載が難しいのと、書き方や文字コードなどを間違ったらブログが真っ白になるなどの500エラーを出してしまいます。

セキュリティ強化の1つとしてワードプレスの「SiteGuard WP Plugin」を入れたらすぐに守られます。サイトガードの導入方法と使い方、『.htaccess』に書かれた設定を確認したいとき必要となる場合があるので同時に見ていきましょう!

 SiteGuard WP Plugin導入の注意点

サイトガードの導入と、導入後の使い方を説明します詳細は後述

WordPress管理画面、ダッシュボード内よりインストールします。手順は下記。

  1. プラグインより
  2. 新規追加を選択
  3. プラグインの検索から「SiteGuard WP Plugin」を入力
  4. 検索で出てきた『SiteGuard WP Plugin』の「今すぐインストール」と選択

プラグインのインストール手順

※有効化すれば、WordPressのデフォルトのログインurlからすぐ、変更されます。

  • http://ドメイン/wp-login.php/から
  • http://ドメイン/login_12345/(数字は乱数が入る)に即変更

サイトガードを有効化すれば即URLが変わる

ログインページのURLの変更を知らせるページに飛んだら『新しいログインページURL』をクリックして、その画面をブックマークしてくださいね。

ログインページの変更画面

ポイント

停止して有効化する毎にlogin_12345の5桁の数字は変更される。

有効化したら即レンタルサーバーの.htaccessに情報が加えられhttp://ドメイン/wp-login.php/のログインアドレスが/login_×××××/に変更

WordPressにログインできなくなった場合

サイトガードを導入しログイン画面にアクセスできなくなった場合。あなたのアドレスの後ろに下記を付け加え、http://ほげ.com/wp-adminに。

サイトガードで生成されたログインURLを転送する.htaccessの記載によって、ログイン画面に転送されログイン可能になります。

404が出る場合は、後述。

サイトガードWPプラグインの使い方・ダッシュボード

管理画面にSiteGuardの項目が追加される。

プラグインを有効にしたら、ダッシュボード内『設定』の下に『SiteGuard』という項目が現れそのダッシュボードに、現在の設定状況・ログイン履歴の2種類の状況がみれます。

WAFチューニングサポート以外は、on・offを変更保存だけで有効化されるので、メチャクチャ簡単!

ログイン履歴は、最大10001個の履歴が見れてそれ以降のログは削除されます。

サイトガードのダッシュボード

  • 管理ページアクセス制限

使って不便さを感じることがあり、オンオフを切り替えてます(後述)。

  • フェールワンス

ログインを1回失敗するのが、わずらわしい時オフにするくらいで一度設定したら、不具合がない限り放置(詳しくは後述)。

WordPress不正ログイン履歴の見かた・セキュリティの効果

サイトガードのダッシュボード設定状況の下。ログイン履歴には日時と結果、ログイン名と、IPアドレスが書かれてます。

サイトガードのログイン履歴は失敗だらけ

知らない人がログインを試した不正ログイン履歴が見れます。私のログイン成功が4ページ分400件弱、その他9600件は不正ログイン履歴。これは多過ぎですが、結果は失敗となってるけど、その他フェールワンス・ロック・成功などあります。

89ページ目から不正ログインでロックされた形跡

サイトガードのセキュリティで守られた結果がここに書かれてるワケです!

ブルートフォースアタックからセキュリティで守った履歴

ブルートフォースアタックはログイン名とパスワードをしらみつぶしで変えてきます。(総当り攻撃)その数は最大10001個の履歴に残らないほど凄いです。ロックして守るのがSiteGuard WP Plugin!

10001個目も同一IP。

上記画像の89ページ目以降ところどころ見る限り、すべて同一IPアドレス。ブルートフォースアタックで27秒で9000回以上の不正ログインをロックした設定に脱帽です!

アクセス制限は、管理画面の外部攻撃を404で返す

デフォルトのオフから『オン』にして『変更を保存』すると、WorsPressにログインしてないIPアドレスから管理画面に入ろうとすると404 Not Foundページを表示します。

管理ページアクセス制限

IPアドレスを制限して、そのIPアドレス以外で管理画面にアクセスしたら404 Not Foundページを返すことで外部からの攻撃を阻止できるんです。

ログインしてるIPアドレスの制限は『.htaccess』に自動的に記載される仕組みになってて、IPアドレスの追加ができてるか確かめたいとき.htaccessを見ます。

IPアドレスの半角ドット『.』『\.』って形に置き換えられ『\』は反対向いた『バックスラッシュ』が自動的に入ります。例:12.34.567.89→12\.34\.567\.89

IPアドレスを登録は、24時間以上ログインしてないと.htaccessから削除されます。出先で別のワイファイ圏内に入ったときも、管理画面は404ページに。

  • 使い勝手を考えてON、OFFに切り替えてください。

404ページを返す設定は攻撃する側からすると難易度が上がるので、セキュリティ面では有効です。

WordPressにログイン画面で404ページが出るときの対処1

管理ページアクセス制限をONにしてから、ログインしようとしたとき404になりダッシュボードにはいれないのは、スマホのワイファイを切った状態などIPアドレスが変わったからです。

入れるデバイスPCなどで『OFF』切り替えにしてログインして『変更を保存』したらログインできます。画面にIP警告画面がでますけど、自分のIPアドレスだと確認できたら何度か非表示にすればOK!(入れない場合は後述

スマホ画面にIP警告画面

気になるようなら、再度ONにすれば、管理画面への攻撃から救ってくれるので安心度が高まりますね!されるから入れます。

WordPressファイルでアクセス制限を解除する2つの対処2

管理画面に入れないで404ページが出るのは、WordPressのブログに.htaccessと言うファイルでをしているからです。

アクセス制限を削除するには、FTPを触ってWordPressのファイルを編集する方法です。

  • .htaccessを編集する
  • プラグインを無効にする方法

.htaccessを編集してアクセス制限を解除

.htaccessサイトガードによる管理画面をフィルタする記載、IPアドレス以外から管理画面へアクセスがあったら404ページを返す下記を丸々削除します。

するとサイトガードの『管理ページアクセス制限』もオフに変わり、管理画面に入れます。.htaccessがどこにあるかは、使用中のWordPressブログのディレクトリ(階層の下・wp-adminのある階層)内です。

分かりにくい場合。

下記リンク、目次2.1.1.htaccessファイルをコピペする場所(ディレクトリ)はどこ?で独自ドメイン・サブドメイン・サブディレクトリの該当.htaccessファイルの上記記載を削除してください。

※ファイルは削除しない!

※削除する箇所を間違ったとき、エラーが出る可能性があるのでファイルをコピーして、メールなどどこかに保存してると安心です。

LINK500 Internal Server Error・404 File Not Found!サーバー移行・WordPressファイルの入れ替えでエラー・原因と解決方法.htaccess編

強制エラーを出し、プラグインを無効化してログイン

FTPに入ってサイトガードプラグインの名前を変更することで、強制エラーを出して無効化するのも簡単です。

『siteguard』のフォルダ名を『_siteguard』などに変えて、再度『siteguard』と元に戻せば停止します。これで再度インできますよ。

パスは/ドメイン(/public_html)/ wp-content / plugins / siteguard

  1. siteguardの名前を変更→ _siteguard
    • 強制エラーを出してサイトガードを外す
  2. 再度、名前を変更→ siteguard
    • 強制エラーの解除

これでプラグインが外れログインできます。ただし設定は初期化されるので、注意してください。

どんな風になるか心配なら

下記リンク目次3.2全てのプラグインを一括で停止させて外す方法に流れを画像付きで書いてるので、チェックしてから行ってください^^

LINK管理画面に入れない場合:レンタルサーバーのFTPを直接触って、プラグインを削除する2つの方法

ログインページ変更されたURL、3つ確認方法

ログインページのディレクトリ名の変更ができる画面になります。http:/ドメイン/wp-login.php/への不正アクセスに対してのセキュリティ強化は、ここを別の名前に書き換えておけば安心。※上述のアドレスならアクセスできるので、有効化してONのままでOK!

変更されたログインページ名はログインページ変更で確認できます。『login_12345』

ログイン画面のURLの変更

変更後のログインページのURL。更に『sawayaka888』などの別名に変更も可能。



管理画面からの変更で、書き方の難しい.htaccessに即反映されるので頼もしい!

  • /wp-login.php/は終了して/login_12345/を使用するよぉ!
  • /wp-login.php/から/sawayaka888/に変更ね。と自動的に処理します。

WordPressログイン画面の変更urlを確認したい!.htaccess編

使用中のブログのディレクトリ内の.htaccessファイルを見れば解ります。

  • /ドメイン(/public_html)/.htaccessファイルを開いて見る
  • /ドメイン(/public_html)/サブディレクトリ/.htaccess
  • /サブドメイン(/public_html)/.htaccess

確認したいとき見るのは上記の6行目の『login_12345』です。これが現在のログインアドレスになります。

管理画面にアクセスして、変更urlを確認する

http://ほげ.com/wp-admin/へアクセスして、リダイレクトされるURLを確認する。

  • ブログURL/★ココ確認★?redirect_to=~略~
  • ブログURL/login_12345?redirect_to=~略~

環境によって早くて確認できない場合は、上記のやりやすい方で確認してください。

ログインページの変更は有効だけど、見えてしまう

上述とおりログインページのディレクトリ(階層)名を変更するのは有効です。でも、http://ドメイン/wp-admin/へアクセスしたら、ログイン画面にリダイレクトされちゃうんでログインページの変更は丸見え…。

  • アカウント名・パスワードと関連性のないものに!

デフォルトのログインURLである『http://ドメイン/wp-login.php/』から『http://ドメイン/login_×××××/』へと自動的に変更した状態は。

  • ドメイン/wp-login.php/への総当り攻撃に対しては有効!

ただし!/login_×××××/に替えてる状態で総当りをくらった形跡のlogin_errorもあります。色んな攻撃があるから設定は、デフォルトのONのままです。

画像認証のセキュリティについて

ログインページの不正ログインや、コメントページなど無差別なスパムなどに対して有効なのが画像認証です。しかも、海外からの攻撃なども多いなか、コードが『ひらがな』に対応してるのがポイント高いです。

画像認証

数秒でウン千もログインページへ進入を試みるスペックの高い攻撃やbotによるスパムコメントで困る場合には認証機能を『ON』のままにしておきましょう。

認証機能ひらがな

コメントページでもこの認証は格好良くはないですけど、初期設定ままです。

認証画像は、ローカルにバックアップ上書きで溜まる!

この認証画像は、日々バックアップをとっていると、かなりの数がローカルのバックアップフォルダに溜まります。※バックアップフォルダを作っている場合。

毎回違う認証画像を出すので、上書き保存でバックアップをとっているなら、かなり溜まってるので気になるなら、たまにチェックしてみてくださいね。

ログイン詳細エラーメッセージの無効化

ログインのときユーザー名とパスワードに加えて、認証画面を全てクリアしたらログインできるようになります。

さらに、どの項目が間違ってるか分からないよう、『エラーメッセージの詳細』を無効にする機能です。

ログイン詳細エラーメッセージの無効化

ONはどれを間違っても同じエラーメッセージを表示します。

error-message

エラー:入力内容を確認の上、もう一度送信してください。

OFFのときは下記のとおり。

エラー: ユーザー名 daredayo のパスワードが間違っています。 パスワードをお忘れですか ?

エラー: ユーザー名が無効です。 パスワードをお忘れですか ?

ユーザー名が正しくって、パスワードが違ってる。って親切に教えます。

攻撃者からすれば、パスワードをしらみつぶしに探せば時間の問題で突破!ですよね。『ON』のままで『無効化』しときましょう!

ログインロック、ブルートフォースアタック対策にオススメ!

ログインロック

ログインロックは、デフォルト設定ではログインを5秒間で3回失敗したら、1分間ロックがかかる設定になってます。ブルートフォースアタックやリストアタックなどログインを突破しようとする攻撃に有効になります!

上述の不正ログイン履歴の見分け方でブルートフォースアタックの的になっても、この設定で免れたワケです。ログイン履歴で確認したら、アカウント名やパスワードを高速で攻撃した結果、ロックがかかってる状態って容易に推測されます。

login-history1

ログイン名が123456ってなってますよね。このログイン名で1秒間に68回ものロックが掛かってるのを確認したんです。実際ログイン名を『123456』『letmein』・・・『trustno1』と時々かえながら不正ログインを試みてました。

login-history2

2015-12-15の4時19分53秒から、この2分半ほどで8000回以上続けられるって・・・。また時間おいて何度も来てて、、何得でやってるんでしょう!?気持ち悪いですねっ。

WordPressはオープンソースだから狙われやすいです。『プラグイン』や『ワードプレス』のバージョンのアップデートは、欠かさずにしておかないとダメですね。

ログインロックのONで、運営者がホゲェーっとしててもブログを守ってくれます!

ログインアラート、ログインをメールで知らせる

不正にログインされたとき、気が付くように登録アドレスにメールが届きます。自分がログインした場合も届くんですけどね・・・。内容は下記。

ログインアラート

  • 『ブログ名』にログインしました。
  • 『詳細日時』に『アカウント名』がログインしました。
  • ログイン情報
    • IPアドレス
    • リファラ(リンク元)
    • ユーザーエージェント(アクセスしてきたブラウザの情報など)

自分のログイン情報もわかりますけど、しらない人が突破したらこれですぐにわかります。それ以前に突破されないようにパスワードを強化するのが最善ですね。

万が一のときは、下記ページで対応してください。参考に。

参考WordPressで「ブルートフォースアタック」や辞書攻撃にあった時にやってみたこと。|Web雑記帳。

「フェールワンス」とは、2度目のログインで成功

正しいアカウント名、パスワード、認証コードをいれても、一度目はログイン失敗させる機能です。二度目に成功させるので、どこかで不正に手に入れたアカウント名やパスワードの使いまわしを狙ってヒットしても、失敗したように見せかけます

  • 正しいものを入れても、1度目失敗
  • 5秒後~1分以内に
  • 2度目、正しいものを入れて成功

手間だけど、セキュリティを高める効果はバツグン!失敗することを頭において、有効にしてください。忘れたら「何で入れない!?」とキョトンとなります。

ログイン履歴は下記のよう表示。

フェールワンス

2度失敗みたいになってる。。エンター早業で2回押したかも!?

フェールワンス

通常こんな感じです

ピンバック無効化!オンで、ピンバックが来ない

WordPressの設定『ディスカッション』でピンバックを受け取る設定にしても、サイトガードで無効にしてたら、ピンバックは届きません。

  • 他のWordPressブログからリンクが貼られた時、管理画面にコメントとしてピンバックが届く
  • デフォルトのオンからオフにしても、今までのピンバックは届きません。
    • 過去記事を修正されて再度『公開』を押した方のピンバックは届く
  • リンクもらってピンバック届かないのは、この設定の場合もある。(他、はてなブログ風…とだけ。)

ピンバック無効化

私は、デフォルトのONから『OFF』に変更しました。ただ、ピンバックなどによるスパムコメントでサーバーに負荷を掛ける攻撃などもあるそうなので、参考まで。

参考最近やたらとWordPressが攻撃されて500エラーになるので行ったセキュリティー対策まとめ|寝ログ

WordPressのセキュリティに大事!更新通知

WordPressやプラグイン、テーマのアップデート・アップグレードをメールで教えてくれる機能です。有効化してないテーマ・プラグインのアップデートを知らせるか、どうか選べます。

更新通知

セキュリティーホールをついた攻撃のための更新やアップデートもあるので、常に最新版にしておきましょう!

  • すべてのプラグイン
  • すべてのテーマ

これに、チェックする!

  • まったく使わないテーマ・プラグインがあれば削除
  • 更に言えば、使わないブログも不要かも

ディレクトリトラバーサルの攻撃を受けて個人情報やデータベースの情報を取られたりマルウェアを仕込まれたりする可能性があるので。

サーバーのファイアーウォール(WAF)がディレクトリへの進入禁止(403 Forbidden)を出したので接続を遮断してくれてたので助かりました。

LINKWAFがディレクトリトラバーサルの攻撃からWordPress、ブログを守るために出来ること

メールの内容は参考まで。

WordPress: 更新通知

あなたのWordPressサイトで、実行可能な更新があります。

プラグイン:EWWW Image Optimizer は、新しいバージョンがあります。2.5.9から2.6.0へ更新してください。
詳細:https://wordpress.org/plugins/ewww-image-optimizer/
更新ログ:https://wordpress.org/plugins/ewww-image-optimizer/changelog/
互換性: WordPress 4.4.2 との互換性: 100% (作者による評価)

次のページで、更新を行なって下さい。: http://ドメイン/wp-admin/update-core.php


SiteGuard WP Plugin

WAF誤認の403対策!WAFチューニングサポート

ロリポップやさくら、ヘテムルなどのレンタルサーバーでは、webアプリケーションファイアーウォール『waf』ワフを導入してます。WAFとは、外部からサイトの改ざんなどの攻撃を阻止するために403ページを出して閲覧を禁止させるセキュリティです。

  • WAFを使ってないサーバーはこの機能はOFFでOK!
  • さくら・へテムル・ロリポップなど、WAFの誤認対策をする場合ON

WordPress運営者の管理画面から更新したとき、外部攻撃と勘違いして『誤認の403 Forbidden』のエラーを出してしまう困った面もあります。

はじめに下記リンク先のよう、WAFを切って対処してください。

LINK403エラーの原因はWAF!対処し解決する方法!:ロリポップ、さくら、ヘテムルのサーバー

その後WAFチューニングサポートからシグネチャ(攻撃のルール)を追加して使用すれば誤認が減っていきます。

  • WAFはどのような攻撃を防ぐセキュリティなのか。
  • 詳しいWAFチューニングサポートからシグネチャ(攻撃のルール)を追加方法

下記リンクより確認してください。

LINK403 Forbidden誤認対策、WAFチューニングサポートのルール追加!WordPressサイトガードの設定

さいごに

スパムを振り分けてブロックしてくれるプラグイン、Akismetも同様で初心者やWordPress運営者にとって欠かせないプラグインです。

  • あとはパスワードの強化

パスワードを強靭なもの大文字・小文字・数字を組み合わせることで、不正ログインが成功しにいから、安心度だけでなくセキュリティ度が増します。

  • セキュリティーホール・脆弱性をついた攻撃が発覚したら

プラグインやWordPressのアップグレード・アップデートなど更新されるときがあります。大事なので更新は、行ったほうがいいですよ。

※更新で管理画面などの不具合が出る場合も、たまにあります。

WordPressの更新はデータベースのバックアッププラグインはファイルのバックアップをとって、更新してください。下記を参考にどうぞ。

LINK初心者用WordPressファイル内説明と、5秒で復元する方法

LINKWordPressデータベースのバックアップ!

LINKエックスサーバーのバックアップ!データベースMySQL・WordPressファイル

それでは、かうたっくでしたっ!

スポンサーリンクと関連記事

関連記事(広告含む時あり)

シェアする

フォローする

  • Follow Me →
スポンサーリンク
トップへ戻る