WordPressは人気があり使っている人も多いだけに、不正アクセスによるコンテンツ改ざんや情報流出などのサイバー攻撃を受けやすいです。
必ず対策はしなければいけませんが、ブログ初心者だと良く分からない方もいますよね?主要なレンタルサーバーのロリポップやコノハウィングではWordPressにあらかじめ入っています。
そこで、この記事では初心者でも安心の日本製の「SiteGuard WP Plugin」というセキュリティ対策のプラグインを、設定方法から使い方まで解説しています。
無料で使えるプラグインの「SiteGuard WP Plugin」を使えば「WordPressの管理ページ・ログインページ」を簡単に保護することが出来ますよ。
この記事の目次
そもそもなぜ不正ログインされやすいの?
その理由は、WordPressは世界的に人気があり、使用している人が多いので標的にし易いんです。
他にも大きな理由として、ログイン時のユーザー名やパスワードが初期設定のままだったり、推測されやすいものにしている人がいるので、悪意のある第三者からすれば狙い易いんです。
ログインページのURLを変更せず同じURLのままの状態も同じく危険です。
ログインページのURLとは言わば金庫の置いてある場所。厳重にロックしていても、何もしなければそのうちにパスワードも破られてしまいます。
初期状態でWordPressログイン画面にアクセスするには、サイトのURLの末尾に「/login/」「/admin/」または「/wp-login.php」を追加します。
つまり初期状態のままだと、誰でも知っている場所という事になります。
いかに危険か分かりますよね?もし、まだ入れてなければ早めにインストールしましょう。
セキュリティ対策プラグイン SiteGuard WP Pluginとは?
WordPressの管理画面やログイン画面は、悪意ある第三者から攻撃を受けてしまうことがあります。不正ログインされてしまった場合、サイトの改ざんや個人情報の漏洩など、目も当てられない状況に陥ります。
今回おすすめする「SiteGuard WP Plugin」は、WordPressに不正ログイン出来ない様にログイン画面を保護してくれるプラグインです。無料で使えるうえ、日本語対応かつ便利なので超人気のプラグインです。(2021年04月25日確認)
作者: JP-Secure(株式会社ジェイピー・セキュア)は日本のウェブサイトセキュリティ専門企業。実績もあり安心です。
管理画面・ログイン画面のセキュリティを守るために1つだけでなく複数の対策ができることも、このプラグインを利用するメリットです。
レンタルサーバー会社でもセキュリティ対策で、WAFによる対策をしっかりしている所もあります。
実際に確認してみると、ConoHa WING 
(コノハウィング)や、エックスサーバー 
、ロリポップ!などはしっかり対応しているようです。
例えば、レンタルサーバーのConoHa WINGやロリポップで、WordPressを簡単インストール機能を使っている人は初めからプラグインが入っています。
- WAFとは
- WAF(Web Application Firewall:ウェブアプリケーションファイアウォール)の事。つまり、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ対策です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
SiteGuard WP Pluginの主な機能
大きく分けると4つあり、4番目以外は初心者でも簡単に出来るので是非やってくださいね。
- WordPress管理画面へのアクセス制限
- 不正ログイン防止対策
- コメントスパム防止対策
- WAF除外リスト作成
後程、設定項目を詳しく解説していきますね。
インストールとプラグイン設定方法
管理画面の左メニュー「プラグイン」画面へ行き、
- 画面一番上の「新規追加」ボタンをクリック。
- 画面右側に「プラグインの検索」の所にSiteGuard WP Pluginと入力。
- いくつか種類が出てきますが、少しだけなので迷わないはずです。
見つけたら、右上に「今すぐインストール」ボタンがありますのでクリック。その後表示が「有効化」に変わりますので、更にそれを押すと「有効」になります。
プラグインの一覧画面の一番上に、緑色で「新しいログインページURL」をブックマークするようにとメッセージが出ます。クリックして新しいログイン画面へ行き、忘れない様にブックマークしましょう。
SiteGuard WP pluginを有効化されたすると管理画面の左にメニューとして「SiteGuard」が追加されます。これをクリックすると設定画面に入れます。
ConoHa WING やロリポップ!で簡単インストールしたWordpressはすでにSiteGuard WP Pluginが入っているかも知れません。その場合は管理画面の左メニューから「プラグイン」ページへ行き、プラグインを見つけて「有効」ボタンをクリックしてください。
おすすめ設定項目 – この設定はやっておこう!
凄く沢山の設定があるのですが、全部やる必要はありません。
中には初心者では難しいものもありますが安心して下さい。必要最低限これはやっておくべき設定に関してはどれも簡単です。
是非やって欲しい設定は以下です。
① ログインページ変更
ログイン画面のURLも変更できますので、第三者には、金庫の場所であるログインの入り口さえも容易には分からない様になります。
初期値は「login_xxxxx」です。好きな名前に変更出来ますので変更しておきましょう。
ONとOFFを切り替えます。デフォルトはONです。
変更後のログインページ名を設定します。容易に推測されにくい名前を設定してください。
英数字、ハイフン、アンダーバーが使用できます。
デフォルトで、「login_<5桁の乱数>」が設定されます。
変更した名前は忘れない様に、お気に入り登録する等して忘れない様にしてください。次回ログイン時はこの変更したURLになります。
② 画像認証
SiteGuard WP Pluginで設定をするとログイン時にユーザー名、パスワードに加え、画像認証を入力する様になります。
※入力文字は「ひらがな」「英数字」「無効」のいずれかを選べます。
毎回入れるのは面倒ですが、これは悪意のある第三者がコンピュータを使って機械的に不正ログインを試みるのを防ぐ為なので我慢しましょう。
デフォルトは「ひらがな」で、文字数は4文字です。
ログインページ以外にも、以下のページに向けて設定出来ます。
- コメントページ
- パスワード確認ページ
- ユーザー登録ページ
➂ ログインロック
機械的なログイン試行をブロックする機能です。何度もアクセスを試みる行為が行われた場合、接続元IPアドレスを指定した時間の間ブロックします。
「期間」「回数」「ロック時間」この3つの回数と時間を設定出来ます。
④ ログインアラート
ログインするとメールで通知が来るので、不正アクセスがあった場合すぐ気づけます。ただ、自分がログインした場合も通知は来ます。
「サイト名」「ログインユーザー名」「ログイン日付」「ログイン時刻」を設定出来ますが、ややこしければ初期のままでも大丈夫です。
ログインしていないのに通知が来た場合は、不正ログインを疑いましょう。
ログインページがわからなくなった時は?3つの対処法
万が一、ログインページのURLを忘れてしまったら、3つの対処方法がありますので試してみて下さいね。
簡単な物から紹介します。
- WordPressに登録してあるメールアドレスからメールが来ていないか確認してみましょう。
件名に「WordPress: ログインページURLが変更されました」となっている物があるかもしれません。
※この場合はSiteGuardで通知を受け取る設定にしている必要があります。 - サイトのTOPページに「ログイン」「ログアウト」のリンクがあれば新しいログインページに遷移します。
- WordPressをインストールしたディレクトリに.htaccessファイルがあります。その中に、RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]という記述があり、
このなかのlogin_xxxxxという部分が新しいログインページの名前になります。
例)https://fueru.info/login_xxxxx/
まとめ
WordPressを使っているなら必ずセキュリティ対策はすべきです。今回紹介したツールを使えば、初心者の方でも設定は難しくないはずです。
セキュリティに関してこれで完璧というものはありません。少しでも多く対策を取る事で、悪意のある攻撃から身を守れる可能性は高まります。
プラグインの導入だけでなく、ユーザー名やパスワードもきちんとしたものを設定しましょうね。アップデートも忘れずに!
note
実は他にも色々出来るのですが、専門的な知識が無い人でも基本的な設定をするだけでも、かなり結果が違います。