最後の更新から一ヶ月程あいてしまいました。。。@yusukexpです。僕は元気です笑。ですが、そろそろインフルエンザの注射を打たないとなーと思っております。仕事が止まるとエライことになるので。。。。
自分の免疫というセキュリティーを高めることもさることながら、運営しているWEBサイト、制作しているWEBサイトのセキュリティーも注意してきましょう!
SiteGuard WPの概要
株式会社JP-Secureさんが作成しているSiteGuard WP PluginというWordPressのセキュリティーを高めるプラグインがあります。
このプラグインは主に管理ページ(/wp-admin/)とログイン(wp-login.php)に関しての外部からの攻撃を防ぐものになります。いろんな便利な機能が含まれており、今使っているセキュリティーに関するプラグインを一つに統合できたりするかもしれませんので、詳細を確認していきましょう!
プラグインは公式ディレクトリに登録されていますので、管理画面からインストールできます!
WAF(SiteGuard Lite)の除外ルールを作成する機能もあります。(SiteGuard Liteはさくらサーバー、ロリポップ、Hetemlなどに導入されています。)
*WAF・・・ウェブアプリケーションファイアウォール
プラグインの機能は下記になります。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- ピンバッグ無効化
- WAFチューニングサポート
では、機能の詳細を見ていきましょう。
1.管理ページアクセス制限
ログインしていない接続元から管理画面ページのディレクトリを(/wp-admin/)を守ります。ログインしていないIPアドレスからアクセスすると404エラーになります。
2.ログインページ変更
WordPressのログインページはデフォルトですと、 hogehoge.com/wp-login.php となっていますが、このページはよく外部からのアタックの対象になります。ならURLを変えてしまおうということですね。(昔のStealth login pageの機能とほぼ同様です)デフォルト設定ですと、login_xxxxx.phpというページが自動で割り振られますが、(xxxxxは乱数)自分の好きな名前に変更出来ます。覚えやすいものに変えてもいいでしょうし、そのままブックマークしてしまってもいいかもです。僕は好きな名前に変更しています。
3.画像認証
ログインページ、コメント投稿に画像認証(CAPTCHA)を追加します。よくある英数字のものだけでなく、ひらがなの認証も選択できます。
4.ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。通常はユーザー名が違う場合は、「ユーザー名が違います」、パスワードが違う場合は、「パスワードが違います」と表示されますが、ここをすべて同じメッセージを表示することで、何が間違っているかがわかりにくくなります。
5.ログインロック
指定した時間、回数でログインに失敗すると、一定の時間接続をブロックする機能です。Limit login attemptsやLogin LockDownといったものと同じ機能ですね。
6.ログインアラート
不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインをした記憶がないのにメールを受信した場合は、不正なログインの可能性があるので、早急に確認することをおすすめします。
7.フェールワンス
正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。ブルートフォースアタックでもしログインが成功だったとしても弾かれるので、不正なログインを防げます。
8.ピンバック無効化
WordPressはデフォルトで有効になっている(3.5以降)ピンバック機能ですが、最近、ピンバック機能を悪用したDDoS攻撃が増えているので、無効化してこれを防ぎます。
9.WAFチューニングサポート
WebサーバにJP-Secure製のWAF(SiteGuard Lite)が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
概要のところにも書きましたが、SiteGuardはLiteさくらサーバー、ロリポップ、Hetemlなどに導入されていますので、該当のサーバーを使用している場合は導入を検討しても良いかと思います。
プラグインを有効化すると、7 フェールワンスと9 WAFチューニングサポート以外は有効化されているので、ご自分の利用したい機能を設定しましょう。サイドバーにSiteGuardという項目がありますので、そちらで設定ができます。日本の企業が制作しているので言語対応もバッチリです!設定も難しくありません。
このプラグインを導入して、Limit login attemptsやStealth login pageなどのいくつかのプラグインを削除できました!セキュリティーを見直す上で検討してみてはいかかでしょうか?