SiteGuard WP Pluginを利用したログイン画面のURL変更と認証内容(ひらがな入力)の追加

こんにちは。中島 達(@NakajimaSatoru)です。

WordPressに関しては良く、「簡単」「誰でも出来る」と言われ、苦手な人向けに、ブログ作りのワークショップがあったり勉強会があったりします。

ただ、多くの場合は、テーマを変更する。ブログを書くなどの表面的なことで、システム運営のことまでを教えてくれません。

今回はシステム運営の中で、セキュリティ対策にあたる、

  • ログイン画面のURLを変更する
  • ログイン画面で認証内容を増やす

を「SiteGuard WP Plugin」を利用して実現するための手順と、その他「SiteGuard WP Plugin」の使い方を記載します。

この設定に関しては、苦手な人でも間違い無く出来るので是非やってみてください!

参考記事

WordPressを運営していくための必要なシステム運営の全体像に関してはこちらを参照下さい。

WordPressは簡単じゃない?WordPressを使う上で必要なシステムメンテナンス。

0.今回利用するプラグイン

今回は、SiteGuard WP Plugin(無料)というプラグインを利用します。

このプラグインを利用することで、

  • ログイン画面のURLを変更する
  • ログイン画面で認証内容を増やす(ひらがな入力)

といった機能だけでなく、

  • ログインしてない場合には、重要なファイルにアクセス出来ないようにする。
  • ログインに失敗したときのメッセージ変更
  • 複数回ログインに失敗したら、ログイン出来なくする
  • ログインがあった場合には、メールで通知する

などの機能設定が出来るようになっています。

そのため、Wordpressでのセキュリティ対策を考える際には、まずはこれを入れておけば大丈夫かな?と考えております。
(確実に大丈夫なわけではありません!!!!)

※SiteGuard WP Pluginの詳細はこちら(って書きますが、別に見ても得することはなんもありません。)

SiteGuard WP Plugin

1.プラグインのインストール

まずはログイン画面を開いてみてください。
現在の状況だと、入力項目がユーザIDとパスワードのみとなっているかと思います。

では、設定に映っていきます。
管理画面を開いて、[プラグイン]の項目を選択して下さい。

[新規追加]をクリック。

検索窓に「SiteGuard WP Plugin」と入力

[SiteGuard WP Plugin]の[今すぐインストール]をクリック

[有効化]をクリック

※注意事項

有効化した時点で、ログインのURLが変わってしまっています。
そのため、

  • 「2.ログイン画面のURLを変更する設定」までは実施
  • ログイン画面のURLをメモ(ブックマーク)
  • ログインURLが変わった旨のメールを保存

のいずれかは必ずして下さい。

上部に出ている、[新しいログインページURL]をクリックすれば、ログイン画面を表示出来ます。

補足:管理画面に「プラグイン」の項目が無い場合

管理画面にプラグインの項目がない場合には、ユーザ権限が編集者や投稿者、閲覧者になってしまっている可能性が多くあります。

そのため、管理者権限のあるユーザでログインし直して下さい。

管理者権限がユーザがわからない場合には、作ってくれた人に確認してみて下さい。

もし、作ってくれた会社が「管理者権限は渡せない。プラグインを追加する場合には、有料です。」って言ってきた場合には、その業者を選んでしまった過去の自分に文句を言いましょう。

作ってくれた人に連絡が取れない、返信が無い場合には、DBを直接書き換えるなどのパワープレイが必要なので、ちゃんとしたWeb屋さんに相談しましょう。

2.ログイン画面のURLを変更する設定

左メニューの[SiteGuard]をクリック

[ログインページの変更]をクリック

[変更後のログインページ名]を変更します。
出来るだけわかりにくいように、数字・英字・ハイフン・アンダーバーを混ぜながら意味が無いものにしましょう。

[変更を保存]をクリックし、設定完了です。

3.ログイン画面で認証内容を増やす(ひらがな入力)設定

プラグインを有効化させた時点で、ログイン画面で認証内容にひらがな入力が追加されています。

「ひらがな」以外にも、英数字のログイン時に入力してもらうように設定することも可能です。
しかし、不正アクセスというのは、海外からのアクセスがほとんどとなるため、「ひらがな」にしておくとより強固なあ設定になるため、このまま「ひらがな」にしておきましょう。

過去に設定している方もいるかもしれませんので、いちを設定方法を記載します。

左メニューの[SiteGuard]をクリック

[画像認証]をクリック

ログインページ、コメントページなど、対応する箇所で「ひらがな」「英数字」「無効」を選択してください。

もし、全てを無効にする場合には、画面左上にある、[ON | OFF]でOFFを選択して下さい。

[変更を保存]をクリックし、設定完了です。

その他設定

上記以外にも使える機能、設定変更をしておいた方がよい箇所がありますのでご紹介。

管理ページアクセス制限(必須)

WordPressの元々の作り上、「https://〇〇.com/wp-admmin/」というURLでログインページが表示される仕組みになっています。

この機能をざっくり記載すると、上で作成したURLで一度ログインしていないと、/wp-admminとURLを直接入力してもエラーになるようにする機能です。

そのため、せっかくプラグインを入れても、この機能をONにしないと「https://〇〇.com/wp-admmin/」でログインページにアクセス出来る形になってしまいます。

この設定に関しては、必ずONにしておきましょう!
※プラグインを有効化した直後だとOFFになっています。

ログイン詳細エラーメッセージの無効化

ログイン画面で、ログインに失敗したときには、その間違えた場所に応じた内容のエラーメッセージが表示されます。
そのままだと、入力項目のウチ、何があっていて何が間違っているかがわかってしまいます。

この機能を利用すると、どこの入力を間違えたとしても、同じメッセージが表示されるようになります。

この設定に関しても、ONにしておきましょう!

ログインロック

不正ログインを試みる場合は、人が一つずつ入力するのでは無く、機械的に複数パターンを何度も連続して入力する様な形になります。

この機能は、「何秒間に何回アクセスがあって失敗したら、ログイン出来ないようにします。」という上の不正ログインへの対策となります。

この設定に関しても、ONにしておきましょう!
期間や回数、ロック時間は特に変更はしなくても大丈夫です。

ログインアラート

誰かがログインした場合にメールを送信する機能になります。
この機能で不正にログインされた場合に、気がつけるように出来ます。

基本的には、この設定もONの方が良いのですが…
個人的には、通知が来るのがうっとおしいので、いつもOFFにしてしまってます。

フェールワンス

正しいログイン情報を入力しても、1回だけログインが失敗するように設定する機能です。

基本的には、この設定もONの方が良いのですが…
個人的には、2度も入力するのが面倒なので、いつもOFFにしてしまってます。

XMLRPC防御

この機能は非常に説明が難しい…
システムに関して詳細に知りたい方以外は無視で大丈夫なのですが…いちを記載。

ピンバック:
ブログなどに別のサイトのリンクを貼った際に、そのリンクを貼った別サイト管理者に通知をする機能。
(自分で書いててもわかりにくい…)

XMLRPC:
管理画面を開かずに、プログラムやアプリを利用してWordpressを更新したりする機能です。

この機能に関してですが、[XMLRPC無効化]を選択の上で、ONにすると、プログラムやアプリを利用した更新などが出来なくなります。

しかし、このXMLRPC自体がセキュリティ上の穴になりやすいので、特にアプリを利用した更新がしたいなどが無い場合には、[XMLRPC無効化]にチェックの上、機能をONにしておくことをおすすめします。

更新通知

その名の通り、

  • WordPressの更新
  • プラグインの更新
  • テーマの更新

が必要なものがあった場合にメールで通知してくれる機能です。

ONにした上で、可能な限り最新のものを適用するようにしましょう!

WAFチューニングサポート

WAF(Web Application FireWall)を利用する場合に設定を行います。

OFFのままで大丈夫です。
(詳細な説明は…気がむいたら別記事で書きます…)

詳細設定

サイトへのアクセスがものすごく大きくなるなどし、サーバを構成からを変更している際に利用する機能です。

初期設定(リモートアドレス)のままで大丈夫です。
(詳細な説明は…気が向くことは無いでしょう…)

ログイン履歴

その名の通り、ログインした人、ログインに失敗した人の履歴が見れます。

セキュリティ設定の基本はログインIDとパスワード

今回のプラグインの設定により、

ログイン画面のURLを変更する
⇛ログイン画面が見つかりにくくする。

ログイン画面で認証内容(ひらがな入力)を増やす
⇛ひらがな入力が必要になることで、機械的に、しかも国外からの不正ログインを防ぐ

といった対策がされるようになりました。

しかし、セキュリティ対策の基本は、ログインIDとパスワードを難しくすることです。

良くありがちなのが、

ID:自分の名前(ローマ字)
パスワード:ドメイン名+数字(誕生日とか?)

などです。

正直、こんなん簡単に破れます。

そのため、上記設定を行いながら、IDとパスワード(IDは変更が手間なので、特にパスワード)を難しく設定して下さい。

また、他の記事になりますが、バックアップは日頃から必ず取って下さい!

もし、クラッキング(不正アクセスしてサイトの中身を変更すること)をされた場合には、どこに改変があるかわからないため、一旦すべてを削除した上で、バックアップから戻す形になります。

プラグイン:UpdraftPlusのインストールからバックアップ実施までを画像付きで説明

投稿者プロフィール

中島 達(Nakajima Satoru)
中島 達(Nakajima Satoru)
株式会社Synround 代表取締役

「続ける。 」をコンセプトに、Webマーケティングにおける戦略立案/サイト制作/システム保守/コンテンツ制作を実施。

web、動画は作っただけでは意味が無くて、そこから育てて行く物。ただ、中小企業、小規模税理士事務所では人や費用により続けることが難しいため、続けるための環境作りをしてます。

過去の事業:Webサービス×2、レンタルスペース5店舗

ABOUTこの記事をかいた人

株式会社Synround 代表取締役 「続ける。 」をコンセプトに、Webマーケティングにおける戦略立案/サイト制作/システム保守/コンテンツ制作を実施。 web、動画は作っただけでは意味が無くて、そこから育てて行く物。ただ、中小企業、小規模税理士事務所では人や費用により続けることが難しいため、続けるための環境作りをしてます。 過去の事業:Webサービス×2、レンタルスペース5店舗