WordPress管理画面への不正アクセスを防御するため、各種アクセス制限やログイン履歴の監視、ログインアラート、ロックアウトなどの機能がセットになったプラグインSiteGuard WP Pluginのご紹介です。
SiteGuard WP Plugin プラグインのインストール
管理画面のプラグイン新規追加より SiteGuard WP Plugin を検索するか、以下のページからプラグインファイルをダウンロードします。SiteGuard WP Plugin

SiteGuard WP Plugin でできること
SiteGuard WP Plugin プラグインを有効化したら、管理画面左メニュー「SiteGuard」をクリックすると、
SiteGuard WP Plugin ページのダッシュボードに移動します。
すでにいくつかの機能が最初からON になっています。

ダッシュボードページにも載っています通り、SiteGuard WP Plugin プラグインでは以下の機能が使えるようになります。
管理ページアクセス制限
まずは「管理ページアクセス制限」ですが、これは外部からの管理画面に対する攻撃を防御する機能です。ログインが行われていない接続元IPアドレスから、wp-admin/ ディレクトリ以下のファイルへアクセスされることを防ぎます。アクセス制限を除外するファイルがあれば、「除外パス」欄に複数指定することができます。
また、この機能を使う前提として、mod_rewrite がサーバーにロードされている必要があります。

ログインページ変更
管理画面のログインページを、デフォルトの/wp-login.php から別のURL に変更します。「変更後のログインページ名」にデフォルトのページ名が入っていますが、これは自由に設定することができます。ログインページ変更機能をONにしたら、「変更後のログインページ名」に記載されたURL からログインを行うようにします。
また、こちらも「管理ページアクセス制限」同様、mod_rewrite がサーバーにロードされている必要があります。

画像認証の追加
管理画面などのログイン時に「画像認証」を追加します。画像認証を追加できる場所(ページ)は、「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」の4ケ所になります。

ログインページページに画像認証を追加すると、以下のようになります。

ログイン詳細エラーメッセージの無効化
ログイン失敗時に表示されるエラーメッセージを変更できます。
どの入力項目が間違っていたのか判別できないよう、ユーザー名、パスワード、画像認証のどれを間違えても、全て同じエラーメッセージを表示します。

ログインロック
ログイン失敗を繰り返す接続元を、一定期間ロックできます。ログインロックページで「期間」「回数」「ロック時間」を設定します。

ログインアラート
WordPress へのログイン時に、管理者などにメールで通知する機能です。不正なログインを察知することができますので、是非ともONにしていきたい機能です。

メールのメッセージは、デフォルトではこのようになっていますが、
1 2 3 4 5 6 7 8 9 10 |
%DATE% %TIME%に%USERNAME%がログインしました。 == ログイン情報 == IPアドレス:%IPADDRESS% リファラー:%REFERER% ユーザーエージェント:%USERAGENT% -- SiteGuard WP Plugin |
以下の変数を使用して、自由にメッセージを変更することができます。
サイト名:%SITENAME%
ユーザ名:%USERNAME%
日付:%DATE%、時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%
ユーザ名:%USERNAME%
日付:%DATE%、時刻:%TIME%
IPアドレス:%IPADDRESS%
ユーザーエージェント:%USERAGENT%
リファラー:%REFERER%
フェールワンス
正しいアカウントでログインをしても、ログインを一回失敗するという機能です。5秒以降、60秒以内に正しいアカウントで再度ログインすると成功します。

ピンバック無効化
ピンバックの悪用を防ぐ機能です。ピンバックとは、ブログ記事内にどこかのサイトのURL を掲載すると、そのサイトにリンクが貼られたことを自動で通知する機能です。ピンバック機能を悪用したDDoS攻撃の報告もありますので、ピンバック機能が不要な場合はON のままにしておいた方が良いです。

更新通知
WordPressのコア(本体)、プラグイン、テーマファイルの更新が必要になった際に、管理者にメールで通知する機能です。
WAFチューニングサポート
WAF(ウェブ・アプリケーション・ファイアウォール)の除外ルールを作成し、誤検知を防止する機能です。「この機能を使用するには、WAF (SiteGuard Lite)が、サーバーにインストールされている必要があります。」とのことなので、SiteGuard Lite を利用していない場合は特に設定の必要はないかと思います。(当ブログではサーバーのWAFが有効になっているため、このチューニングサポート機能は利用しておりません。)

ログイン履歴
SiteGuard WP Plugin のダッシュボードページ下部で「ログイン履歴」を確認することできます。
ログイン結果として「成功」「失敗」が表示され、ログイン試行時のログイン名やIPアドレスも表示されます。
コメント