【2022年10月】セキュリティプラグインSiteGuard WP Pluginで管理・ログイン画面を守る設定と使い方

SiteGuard WP Plugin WordPressプラグイン
2022.10.03

「SiteGuard WP Plugin」は、管理画面やログイン画面を不正アクセスから守ってくれるプラグインです。

無料で、サイトのセキュリティ強化をしてくれるプラグインですので、是非、利用して下さい。

今回の記事では、
・「SiteGuard WP Plugin」のインストールの方法
・勝手にログインされないように設定
・管理画面へ不正にアクセスされないように設定
・・・などを解説していきます。

その他のプラグインについての設定方法などを知りたい方は、こちらのリンクからどうぞ▼

WordPressプラグイン
「WordPressプラグイン」の記事一覧です。
purple-ribbon2022.com

SiteGuard WP Pluginとは?

「SiteGuard WP Plugin」とは、管理画面やログイン画面を不正アクセスから守ってくれるプラグインで、サイトのセキュリティを強化してくれます。

・勝手にログインされないように設定できる
・管理画面へ不正にアクセスされないように設定できる
そして、上記のような設定ができます。
ちなみに、このプラグインの開発元は、日本のセキュリティソフトウェア会社ですので、安心です。

SiteGuard WP Pluginインストールと設定のしかた

まずは、「SiteGuard WP Plugin」のインストール方法から解説していきます。
サイトのダッシュボードに入ります。

プラグインの新規追加
①「ダッシュボード」から、
②「プラグイン」をクリックし、
③「新規追加」をクリックして下さい。
 
プラグインsiteguaredpluginの設定
①『プラグインを追加』ページに入りますので、
②『キーワード』欄に「SiteGuard WP Plugin」と入力して下さい
 
プラグインsiteguaredのインストール
「SiteGuard WP Plugin」がヒットしますので、『今すぐインストール』をクリックし、
『有効化』して下さい。
※レンタルサーバーによっては、このプラグインを最初からインストールしてくれている場合もあります。
例えば、「ConohaWING」や「ロリポップ」などです。
 
新しいログインページURLをクリック
『有効化』すると、『ログインページURLが変更されました。』と出てきますので、
「新しいログインページURL」をクリックして下さい。
 
新しいログインURL

すると、ログイン画面に移動してきますので、

①新しい「ログインURL」をメモしたり、ブックマークしておいて下さい
②『ユーザー名またはメールアドレス』を入力し、
③『パスワード』を入力し、
④「表示されている画像の文字」を入力して下さい
 ※今回の場合なら『とさひえ』
このように、「ログインURLの変更」と「画像認証が追加された」という変更がなされました。
※WordPressに設定したE-mailアドレスにも、新しい「ログインURL」が記載されたメールが届きます。
「SiteGuard WP Plugin」は、インストールし有効化した時点で「ログインURLの変更」をしてくれます。

(旧ログインURL)○○○.com/wp-login.php
          ▼
(新ログインURL) ○○○.com/wp-login97785 ←例えば、このような数字に変わっています

そして、E-mailに届いた新しい「ログインURL」は、必ずメモorブックマークしておいて下さい!
※でなければ、ハッカーのみならず、自分自身までもがログインページURLがわからなくなるからです。
ここまでで、「SiteGuard WP Plugin」のインストールと初期設定は終了です。
 

新しい「ログインページURL」がわからなくなった場合

問題ない場合には、読み飛ばして下さい。

・新しい「ログインページURL」についてのお知らせメールがない・メールを削除した
・新しい「ログインページURL」がわからなくて、ログインできなくなってしまった
このような場合には、レンタルサーバーの「.htaccess」を確認すれば、記載があります。
この「.htaccess」の確認方法は、レンタルサーバーによって違いますが、確認は必ずできます。

今回は、『ConohaWING』の場合で解説します。
ConohaWINGの管理画面にログイン

ConohaWINGの管理画面にログインして下さい。

①「サイト管理」をクリックし、
②ドメインを確認して下さい
③「応用設定」タブをクリックし、
④「.htaccess」をクリックして下さい
「.htaccess」で確認する
「.htaccess」の中を下へスクロールしつつ、見ていくと(かなり細かいんですが ^^;)
①『#SITEGUARD_PLUGIN_SETTINGS_START』という文字が出てきます。
②その少し下辺りに、『^login_○○○○○』というのがあります。

この「login_○○○○○」が、ログインページURLの末尾です。
※ 読み終わって、この説明文を閉じたければ上記の『-』をクリックして閉じて下さい

SiteGuard WP Plugin各種設定

「SiteGuard WP Plugin」の各種設定について解説します。

まずは、WordPressのダッシュボードから、

SiteGuardプラグインの設定1
WordPressのダッシュボードから、下の方に『SiteGuard』ができていますので、
①『SiteGuard』をクリックし、
②『ダッシュボード』をクリックして下さい。
 
SiteGuardの各種設定
SITEGURADのダッシュボードに入ります。
ここから各種設定をすることができます。
 

管理ページアクセス制限 は「OFF」にする

「管理ページアクセス制限」は、「ON」に設定してしまうと次のような困難があります。

・IPアドレスが変わるとログインできない
・24時間以上ログインしていないと、ログインできなくなる
※ログインできなくなると、FTPソフトでプラグインごと削除しなければならず、非常にめんどくさい

なので、よほど詳しい方以外は、「管理ページアクセス制限」を「OFF」にしておいて下さい。

ログインページ変更

ここでは、「ログインページURLの変更」や設定することができます。

「ログインページURL」を変更しておくことが、単純で、それでいて効果的なセキュリティ対策になるからです。

初期設定のWordPress「ログインページURL」は、次の2つです。
https://○○○○○.com/wp-login.php
https://○○○○○.com/wp-admin


これはWordPress共通なので、世界中の誰でも、WordPressサイトのドメインを見て、その末尾に「/wp-login.php」か「/wp-admin」を付ければ、ログインページにアクセスできてしまうわけです。

そうすると、不正にログインを試みる攻撃(ブルートフォース攻撃等)を受ける可能性も大です。
だからこそ、「ログインページURL」を変更しておくことが、セキュリティ対策となります。

※ 読み終わって、この説明文を閉じたければ上記の『-』をクリックして閉じて下さい

「ログインページ変更」の設定
「WordPressダッシュボード」→『SiteGuard』→『ダッシュボード』→
そして、「ログインページ変更」をクリックして下さい。
 
ログインページ変更の各種設定方法
①『ON』を選択し、
②『変更後のログイン名』を任意に変更して下さい
 (与えられた 例「login_56789」から覚えやすい文字や数値に変更できます)
③『管理者ページからログインページへリダイレクトしない』に、必ずチェックを入れて下さい。
(ここにチェックを入れなければ、せっかく「ログインページURL」を変更した意味がなくなってしまうからです)
④『変更を保存』をクリックして終了です。 
 

画像認証

ここでは、画像認証の設定をすることができます。

画像認証の設定-1
「画像認証」をクリックして下さい。
 
画像認証の設定-2
①『ON』を選択し、
②すべての認証の設定を「ひらがな」にチェックを入れて下さい。
(海外のハッカーからの攻撃に備えることを想定すると、「ひらがな」が一番難しい認証になるからです)
③『変更を保存』をクリックして終了です。 
 

ログイン詳細エラーメッセージの無効化

「ログイン詳細エラーメッセージの無効化」とは、ログインに関する「エラーメッセージ」をすべて統一し、同じ内容の「エラーメッセージ」にします。

この「無効化」を「ON」に設定しておくことによって、「ユーザー名」「パスワード」「画像認証」のどれを間違えても同じ「エラーメッセージ」を表示しますので、何がエラーだったかを攻撃側に知らせずにすみます。

なので、「ON」に設定しておいて下さい。

ログインロック

「ログインロック」とは、不正にログインを試みる機械的な攻撃に対して、攻撃してくる側が、ログインに失敗すれば、「指定期間中」に「指定回数」に達した ” 接続元IPアドレス ” を「指定時間」ブロックします。

そのために、ブロックする期間や回数や時間を設定するのが、この「ログインロック」画面です。

ログインロック-1
「ログインロック」をクリックして下さい
 
ログインロック-2
①『ON』を選択し、
②『期間』『回数』『ロック時間』を適当にチェックを入れて下さい。
(ここは、特にこれがおすすめとかはナイです。当ブログでは上記の画像のように設定しています。)
③『変更を保存』をクリックして終了です。 
 

ログインアラート

「ログインアラート」とは、誰かがログインするたびに、メール(最初にWordPressに設定したメアドに)で通知されます。
(いちいち、ログインの都度、メール通知がきますので、ウザいかも・・・ですが・・・)

ログインアラート-1
「ログインアラート」をクリックして下さい。
 
ログインアラート-2
①『ON』を選択し、
②『変更を保存』をクリックして終了です
 

フェールワンス

「フェールワンス」は、正しいログイン情報を入力しても、1回だけログインを失敗させる機能です。
そして、5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功するような設定です。
この設定のデメリットとしては、自分が毎回ログインするときにも、1回ログインを失敗するので、めんどくさいです。

これも「リスト攻撃」などボット対策なのですが、デフォルトでは「OFF」設定になっています。
設定しておきたい方は「ON」設定でどうぞ。

XMLRPC防御

「XMLRPC防御」は、「外部ツール」などからの操作を防御する機能ですので、なにか外部ツールを使っている場合には「OFF」設定にしますが・・・

ただ、それ以外の通常通り、WordPressにログインして使っているというデフォルトの場合には、「ON」設定のままでOKです。

ユーザー名漏洩防御

「ユーザー名漏洩防御」は、2021年5月から新たに追加された機能で、「ユーザー名を外部に漏洩するのを防ぐ」機能です。

初期設定のWordPressでは、WordPressサイトのドメインURLの末尾に「/?author=1」と入力すれば、サイトの「ユーザー名」が表示されてしまいます。
 例:「 https://○○○○○.com/?author=1 」←これで、ユーザー名が知られてしまいます。

なので、「ユーザー名漏洩防御」は「ON」に設定しておいて下さい。

更新通知

「更新通知」は、「WordPressの更新」「プラグインの更新」「テーマの更新」が必要になった場合に、管理者にメールで通知してくれる設定です。

常に最新のバージョンを使うことはセキュリティの基本ですので、「更新通知」は「ON」に設定しておいて下さい。

更新通知の設定
①「ON」を選択し、
②WordPressの更新:「有効」にチェック
 プラグインの更新:「アクティブなプラグインのみ」にチェック
 テーマの更新:「アクティブなテーマのみ」にチェック
③『変更を保存』をクリックして終了です。
 

WAFチューニングサポート

「WAFチューニングサポート」は、WAF の除外ルールを作成するための機能です。
Webサーバーに「WAF ( SiteGuard Lite )」が導入されている場合にのみ使う機能ですので、今回は不要な設定です。

なので、ここは「OFF」設定のまま、なにも触らなくてOKです。

最後に

ここまで、本当にお疲れ様でした。
今回は、プラグイン「SiteGuard WP Plugin」のインストール方法から各種設定についての解説でした。

WordPressは初期状態のままだと、世界中の誰からでも管理画面に入れられる恐れがあったり、ユーザー名を簡単に知られてしまったり、不正な攻撃の的になりやすいです。

なので、是非、この「SiteGuard WP Plugin」をインストールし設定しておいて下さいね。

「他のプラグインの設定」について、知りたい方は、下のリンクからどうぞ▼

WordPressプラグイン
「WordPressプラグイン」の記事一覧です。
purple-ribbon2022.com
タイトルとURLをコピーしました