こんにちは、みよし之です。

今回は、ワードプレスのプラグインSiteGuard WP Pluginについて記事を書いてみました。

ブログを始めてから1年ちょっと経過、ある日、何気にログイン履歴という項目があったので眺めている時でした。

不正なアクセスを試みようとした形跡がある・・・

ブログを運営していると、サイトの乗っ取りや改ざんなどは注意しなければなりません。

ここでは、不正なアクセスなどを守ってくれるSiteGuard WP Pluginの使い方と設定について説明しています。

個人的には、優秀なセキュリティ系プラグインではないかと思っています。

なお、ログイン履歴の確認は、このプラグインだけのものでなく、他のプラグインでも確認することができるものがあります。

目次 [ close ]
  1. SiteGuard WP Pluginって何?
    1. 管理ページアクセス制限について
    2. ログインページの変更について
    3. 画像認証について
    4. ログイン詳細エラーメッセージの無効化について
    5. ログインロックについて
    6. ログインアラートについて
    7. フェールワンスについて
    8. XMLRPC防御について
    9. ユーザー名漏えい防御について
    10. 更新通知について
    11. WAFチューニングサポートについて
    12. ログイン履歴について
  2. ダウンロードの仕方について
  3. まとめ

SiteGuard WP Pluginって何?

ブログを運営するにあたっては、不正なアクセスなどがないようにプラグインだけでなく、レンタルサーバーのセキュリティ設定やワードプレスのパスワード設定にも注意を払っておく必要があります。

SiteGuard WP Pluginは、ログイン時におけるセキュリティ機能を備えているプラグインです。

SiteGuard WP Pluginの機能について
  • 管理ページアクセス制限
  • 画像認証
  • ログインロック
  • フェールワンス
  • ユーザー名漏えい防御
  • WAFチューニングサポート
  • ログインページ変更
  • ログイン詳細エラーメッセージの無効化
  • ログインアラート
  • XMLRPC防御
  • 更新通知
  • ログイン履歴

このような機能があります。

管理ページアクセス制限について

この項目では、IPアドレスによる制限をかけることができます。

人によっては、便利だと思う反面、不便と感じる人もいる機能だと思います。

おすすめできる人
  • 固定IPアドレスでINしている人

この機能をONにすると、24時間以上経過した状態でログインをしていなければ、ログインができなくなってしまいます。

ただし、固定IPアドレスの場合は除外されます。なので、固定IPアドレスの人にはONをおすすめします。

一方で、変動IPアドレスや外出先などで接続する人には、ONにすると不便な機能かもしれません。

24時間経過すると、すぐにログインできないというわけではありませんが、ログインできなくなったりします。

例えば、3日くらいログインしていなくても入ることもできました。一方で、ログインできなくなったこともありました。

このようなことから、管理ページアクセス制限をONにした人は、必ず解除方法を確認しておきましょう

特にブログを始めて日が浅い人は要注意ですよ。

私は、パニックになりました・・・

.htaccessの場所はここ

エックスサーバでは、サーバーパネル .htaccess編集 ドメイン名選択 .htaccess編集をクリック

この中に、次のように表示されている場所があります。

RewriteRule ^wp-admin 404-siteguard [L]

私の場合は、ここを削除してからログインすることができました。

ちなみに、その上にある4つの数字がログインできるIPアドレスです。

もしくは、ワードプレス管理画面左下にあるSiteGuardを開くと、開いた画面上部のリンクから詳しいページにリンクが飛びます。

ページの右側にFAQがありますので、そちらも確認しておきましょう。

なお、.htaccessの編集をする場合は、気をつけてください。

ログインページの変更について

こちらはONがおすすめです。

ログインページ名を変更して、オプションには チェックを入れてから変更を保存します。

なお、今まで使っていたログインページが使えなくなります。

メールが届きますので、必ず次のログインページをブックマークしておきましょう!

画像認証について

ほとんどの場合、不正侵入を試みるのは主に海外からです。

そのため、画像認証はひらがながおすすめです。

ログイン詳細エラーメッセージの無効化について

これは、ログインをしようとしてユーザー名・メールアドレスやログインパスワード、画像認証を入力したとき、失敗したときに有効な手段になります。

何が失敗したのかを相手に教えてしまうことになりますので、設定は有効をおすすめします。

ログインロックについて

私の場合は、デフォルトの設定で有効にしています。

厳しく設定するなら、ロック時間を5分やロック期間を30秒に変更することもできます。

ログインアラートについて

基本的には、有効がおすすめです。

また、管理者のみに チェックを入れておきましょう。

この機能を有効にしておくと、ログインしたときにメールで知らせてくれます。

メールには、ログインしたIPアドレスが表示されていますので、不正なログインがあったかのチェックをすぐに確認することができます。

複数人で利用している場合などは、不便に感じることもあるかもしれません。その場合は無効にしてもいいですが、必ずログイン履歴をチェックして不正なアクセスがないかどうかを確認しておきましょう。

ワードプレスにログインしたら、メールもチェックする

私の場合は、いつもこのように確認しています。

フェールワンスについて

この機能を有効にするか無効にするかは、それぞれの判断でいいように思います。

ログインに成功しても必ず一回失敗する機能のため、もう一度ログインをする必要がある

このように、セキュリティの機能は向上しますが、手間もかかります。

XMLRPC防御について

支障がないようならXMLRPC防御に チェックを入れて、有効化することをおすすめします。

もし、なんらかの影響が出るようなら、ピンバック無効化に チェックを入れて有効化してください。

初めてこのプラグインを使う人は、この意味が分からないかと思います。

通常は、ログインページからログインすることになっています。ところが、XMLRPC.php経由からもログインすることができるようになっています。

ある程度、このプラグインを使用している人は、ログイン履歴を確認してみてください。

タイプの項目に、XMLRPCと表示されている部分に注目!

XMLRPCと表示されているログイン履歴の結果をみると、次のようになっていると思います。

結果
  • ロック
  • 失敗

この結果が成功だったら怖いですよね。

ブログを運営するにあたって、一番怖いのは不正アクセスです。

ある程度、サイトが検索上位に位置してきたら、XMLRPCを経由しての不正なアクセスが行われてきます。

なので、個人的にはこの機能にチェックを入れて有効化しておいた方がいいように思うわけです。

管理ページアクセス制限では、通常のログインページの制限だと思われます。

しかし、XMLRPC経由の場合は404で弾かれていないため、ログイン履歴として残るのではないかと考えに至りました。

私も最近になって、この件について調べましたので、XMLRPC防御を有効化したときの効果については追記いたします。

2023/12/25 追記

約2週間経過しましたが、この設定の有効化はかなり効果があるのではないかと思います。

有効化以降、XMLRPC経由でのログイン履歴は表示されなくなりました

XMLRPC経由での不正アクセスの試みが気になる人にはおすすめです。

ユーザー名漏えい防御について

こちらの設定も有効がおすすめです。

  • ユーザー名もしくはメールアドレス
  • パスワード

この2つと画像認証が一致すると、ログインすることが可能です。

このため、ユーザー名もしくはメールアドレスが知られた場合は、パスワードのみ正しく入力すればログインされてしまいます。

なお、REST API無効化に チェックを入れるかどうかは、支障のあるプラグイン次第になると思います。

パスワードは強固なものにしていますか?

パスワードの変更は、ワードプレス管理画面左側からすぐに変更することができます。

ユーザー   プロフィール   アカウント管理にある新しいパスワードを設定

なお、パスワード管理はパスワードマネージャーで管理するとパスワードを覚えなくていいため楽です。

Edgeもchromeにもありますので、便利だと思います。ただし、消すのも簡単なのでやってはいけないことを覚えておきましょう。

原理としては、こちらになります。

やってしまいました・・・
ブラウザゲームが消えたアイキャッチ画像
ブラウザゲームが消えました!
こんにちは、みよし之です。 今回はEdgeによるブラウザゲームのデータが消えた原因についてを記事にしています。 ある日のこと…
2023年6月16日 2024年3月10日

更新通知について

こちらは、有効でもいいように思います。

ワードプレスやテーマ、プラグインの更新がされた際の通知になります。

私の場合、普段から更新していますので、有効にしていても通知が来ることがほとんどありません。

WAFチューニングサポートについて

基本的に無効でも問題ないと思われます。

必要となった場合に、新しいルールを追加して、有効にすることになります。

ログイン履歴について

ここでは、ログインの履歴を調べることができます。

ログインアラートを有効にしている場合は、そちらにログインが成功したときに通知されます。

メールを確認することで、身に覚えのないとこからログインされても気がつきやすい

一方で、ログインアラートを無効化している場合は、ログイン履歴でチェックすることになります。

試しにやってみました
  • ユーザー名またはメールアドレスをミスしたとき、ログインパスワード
  • パスワードをミスしたとき、タイプはログインページ
  • 画像認証をミスしたとき、タイプはログインページ

このようなことからも、タイプがXMLRPCの場合、XMLRPC.php経由の時に表示されているものではないかと考えられます。

ただ、IPアドレスを調べていくと気になることもありました。そのため、絶対というわけではないようにも思います。

レンタルサーバーのセキュリティやログインパスワードは強固なものに設定しておきましょう!

ダウンロードの仕方について

ここでは、ダウンロードの仕方について説明します。

STEP1
新規プラグインを追加をクリック

ワードプレス管理画面左側にあるプラグインの項目にあります

STEP2
SiteGuard WP Pluginをダウンロードする

画面右上の検索にSiteGuardと入力すると表示されます
SiteGuard WP Plugin

STEP3
有効化

有効化して、上記の設定を行う
各種設定はワードプレス管理画面左下のSiteGuardから行います

なお、変更した場合は、必ず変更を保存しておきましょう。

SiteGuard WP Pluginは、ワードプレスにおけるセキュリティ系のプラグインです。

レンタルサーバーのログインに対して対策を行っていますか?

強固なパスワード設定や2段階認証なども対策としては有効です。

ワードプレスのセキュリティ対策については、こちらをご覧ください。

セキュリティは対策済み?
ワードプレスのセキュリティ対策と設定についてのアイキャッチ画像
ワードプレスのセキュリティ対策を設定してみよう!
こんにちは、みよし之です。 今回は、ワードプレスのセキュリティ対策について、使い方や設定について記事を書きました。 セキ…
2024年1月14日 2024年4月18日

まとめ

私が初めてブログをしたときに、まずはレンタルサーバーを契約し、その後はいろいろなサイトを見ながら様々な設定やプラグインの導入をしていました。

SiteGuard WP Pluginのプラグインもすぐに設定した記憶があります。当時はよくわかっていませんでしたが、振り返ってみるとこのプラグインを導入していて良かったと感じています。

設定も簡単です。また、日ごろからログインアラートやログイン履歴を確認するようにしておきましょう。

ただし、管理ページアクセス制限に関しては、固定IPアドレスの人以外は使いにくい場合もあります。有効にする場合は、必ずどこで解除するのかを覚えておくことをおすすめします。

ブログを始めてから1年が経過し、ログイン履歴を確認するとXMLRPCからの不正アクセスの試みが気になったので、今回調べてみることにしました。調べてみてよかったと思っています。

最後まで読んでいただきありがとうございました。

参考 EG Secure Solutions https://www.jp-secure.com/siteguard_wp_plugin/