WordPress~SiteGuard WP Pluginの設定見直し
SiteGuard WP Pluginはデフォルト設定でも使用出来ますが、少し設定を見直すことでより強固にサイトをガードしてくれます!!
SiteGuard WP Pluginとは
WordPressのセキュリティー対策で有名なのは SiteGuard WP Plugin。
SiteGuard WP Pluginは国産のプラグインで、日本語対応はもちろん、導入することで不正ログインや管理ページ(/wp-admin/)への不正アクセス、コメントスパムを防ぐことができるので、安心してサイトの運用ができるようになります。
スパム対策では、Google reCAPTCHAも有名ですが、reCAPTCHAを全ページで有効にすると、サイトの速度が低下するので、reCAPTCHAはメールフォームのみの有効にして、SiteGuard WP Pluginメインで設定を行いました。
SiteGuard WP Pluginの設定の見直し
SiteGuard WP Pluginを有効にすると、ログイン画面やディスカッション(コメント欄)に、画像認証が付くので安心といえば安心なのですが、SiteGuard WP Pluginのログイン履歴を見ると(いままでほとんど見たことなかった)、結構侵入を試みられてたようで怖くなりました(°д°;;)。
今までは、ほとんどデフォルト設定だったのですが、ログインページの変更と、XMLRPC防御の設定を見直すことにしました。
ログインページの変更
ログインページの変更は、今までもやっていたのですが、「管理画面から・・・・」にチェックが入っていなかったために、新たに設定したログインページのurlと、従来のログインページのurlである「/wp-admin/」どちらからもログイン出来る状態でした。
これでは全く意味がないので、「管理画面から・・・・」にチェックを入れることで、未ログインの他のユーザーが従来の「/wp-admin/」にアクセスしてもブログのトップページに遷移されるだけなので、不正アクセスのリスクを減らすことが出来るようになります。
重要:
ログインページの新しいurlは▲設定画面や、メールで通知もしてくれるので忘れずにメモしておきましょう。
▼忘れた場合はサーバー上にある.htaccessを開くと新しいurlを確認可能です(login_xxxxx部分が新しいurl)。
RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]
例:https://aaaa.com/login_xxxxx
メモ:
以上を考慮しても、(SiteGuard WP Plugin)プラグインが原因でログインできなくなったと考えられる場合は、以下の手順でこのプラグインを削除してください。
(Version 1.2.2以降では、1.の手順を行うと「管理ページアクセス制限」、「ログインページ変更」の機能が無効になります。2.の手順に進む前に、/wp-login.phpに数回アクセスしてみてください。)
- WordPressのインストールディレクトリにある.htaccessの以下の記述を削除してください。
#SITEGUARD_PLUGIN_SETTINGS_START から #SITEGUARD_PLUGIN_SETTINGS_END まで
- /wp-content/plugins/にあるsiteguardディレクトリを削除してください。
FAQ – WebセキュリティのEGセキュアソリューションズ(公式サイト)より~
その後、SiteGuard WP Pluginを再度入れます。
こんなサービスを待っていた!WordPressのトラブルならクイックレスキュー
XMLRPC防御
XMLRPCとは、Wordpressを遠隔操作する際に使われる便利な機能のようですが、不正ログインの原因にもなったりするらしく、現に、ログイン履歴を見ると「XMLRPC」の文字が。。。。
成功というのは私がログインしたもので、失敗というのは文字通り、悪意のあるユーザーがログインを試みようとして失敗した例です🥶
9月20日だけでもこんな感じでめっちゃ失敗されています(実際はこんなものではなくこの数十倍ありました)。
WordPressがいくらユーザー名とパスワード+SiteGuard WP Pluginの画像認証で守られてるとはいえこれはちょっと怖いですよね。。。。
なので、XMLRPC無効化にチェック!
XMLRPCのテスト方法
XMLRPCが無効化されているかどうかは、URLの末尾に/xmlrpc.phpを付けてれば確認できます。
例:https://aaaa.com/xmlrpc.php
ルートではなく、例えばwpというフォルダーにWordPressが入っているのであればURLは以下のようになります。
例:https://aaaa.net/wp/xmlrpc.php
無効になっていれば403エラーが出ます。
今回設定の参考にさせていただいたサイト:
まとめ
ログインページの変更と、XMLRPC防御設定を行ってから数日経ちますが、あれほど多発していた不正ログインの試みが1件も発生していません👍️
まぁログインページのアドレスを変更したので当たり前なのですが、これは大きいですよね👍️
ログインページのアドレスは変えようと思えばいつでも何度でも変えられますので、SiteGuard WP Pluginのログイン履歴を見つつ、対策していけば良いかなと思っています。
それにしても、私のような個人ブログでもこれだけ不正ログインの試みがあるなんてちょっと驚きですが、これからはもう少しこまめにチェックしたいと思います。
追記
XML-RPCを無効にすると、Jetpackなど一部のプラグインが動かなくなるらしいです。私もJetpackは一部のサイトで使用していますが、Jetpackはダウンタイムモニター(サーバーのダウンを監視)くらいしか使わないので、外してしまっても問題ないですが、モバイルアプリや外部ツールを使用してブログを管理している方などは注意が必要とのことです(アプリではなくWebサイト上からの管理は可能です)。
ディスカッション
コメント一覧
まだ、コメントがありません