AFFINGER(アフィンガー )の初期設定のコーナー。今回は"SiteGuard WP Plugin"というプラグインを導入してあなたのサイトのセキュリティを上げます。
できたばかりのWordPressのサイトは生まれたての子鹿のように無防備です。こんなときに悪いヤツらに狙われたらひとたまりもありません。そんなときに導入したいのがこの"SiteGuard WP Plugin"。これ一つ導入するだけであなたのサイトのセキュリティレベルは格段にレベルアップします!初期の危険な時期をいっときも早く抜け出しましょう。
SiteGuard WP Pluginの特徴
"SiteGuard WP Plugin"は日本のセキュリティ会社が作成したプラグインです。なので説明は英語ではなく日本語で書いてあります。といっても専門用語が多くて容易に理解はできませんが。おすすめのセキュリティプラグインに必ずと言っていいほど挙げられるメジャーなプラグインです。
このプラグインの特徴は一つのプラグインでたくさんのセキュリティ対策を施してくれることです。オールインワンというやつですね。特に攻撃の中でも"不正ログイン"の攻撃にめっぽう強いのが嬉しいところ。これで"不正ログイン"の脅威は一気に減ることになるでしょう!
AFFINGERとSiteGuard WP Plugin
多くあるセキュリティプラグインの中でなぜこの"SiteGuard WP Plugin"なのか?それはAFFINGERの公式マニュアルでもおすすめされているからです(参考プラグイン紹介:購入者限定公式マニュアル)。公式にも認められているのは大きな安心になります。
SiteGuard WP Pluginの導入方法
それではここから"SiteGuard WP Plugin"を導入する方法を解説します。インストール方法を紹介したのち、「必ずやっておきたい設定3つ」と「できればやっておきたい設定2つ」を紹介します。
プラグインをインストール&有効化
まず、"SiteGuard WP Plugin"をインストールして有効化します。
ダッシュボードのプラグインの設定画面に移動し"新規追加"ボタンを押します。
検索窓に"SiteGuard WP Plugin"と入力します。するとこのようなプラグインがヒットします。
見つけたら右上の"今すぐインストール"ボタンを押します。インストールが完了すると"有効化"というボタンが出てくるのでそのボタンを押してください。
すると画面が変わり"プラグインを有効化しました"と出てきます。これでプラグインのインストールが完了しました。
次は"SiteGuard WP Plugin"の設定を行っていきます。
SiteGuard WP Plugin:必ずやっておきたい3つの設定
インストール後、ダッシュボードのサイドバーに"SiteGuard"という項目が追加されます。そこで各種設定を行います。
まずは必ずやっておきたい3つの設定をご紹介します。
1、ログインページ変更
この部分は気を抜いてやるとその後ログインできなくなる可能性があります。この設定は慎重にやりましょう。
ログインページのURLを変更します。あなたのサイトのログインページ、初期設定のままだと誰でもわかる場所に存在しています。これでは誰でもアクセスし放題!そこでその誰でも分かる場所にあるログインページをわかりにくい場所へ隠します。
"SiteGuard WP Plugin"の"ログインページ変更"の設定画面へ移動します。
"変更後のログインページ名"の箇所に新しいURLを入力しましょう(使えるのは英数字、ハイフン、アンダーバー)。パスワードのように誰にも予測されない長い文字列だと安心です。
次の"管理者ページからログインページへリダイレクトしない"にチェックを入れます。そして保存します。
重要ここからが重要です!変更したURLをすぐにブックマークしてください。URLを忘れてしまうとあなたもログイン画面へ行けなくなってしまいます。変更したURLを打ち込みそのアドレスをブックマークします。もし、変更したURLを忘れたら登録しているメールアドレスにWordPress: ログインページURLが変更されましたとういう題名のメールが来ているはずです。そこに変更したURLが記されているのでチェックしてください。
それでもログインできなくなってしまった場合はこちらの方法でログインページを確認できます。
SIteGuard WP Pluginログインできなくなりました
WordPressのログインページは初期状態でオープンな状態です。サイトのドメインの末尾に"/wp-login.php"と入力すれば世界中の誰でも簡単にあなたのサイトのログインページにアクセスすることができます。ログインページまで来られたらあとはユーザー名とパスワードだけ当てればいい状態になりますね。
2、フェールワンス
フェールワンスを有効化します。設定をオンにしましょう。そして対象ユーザーの管理者のみにチェックします。そして保存します。
正しいユーザー名、正しいパスワードを入力しても必ず1度ログインに失敗する機能です。ログインするたびに自分も2回入力する手間が出てきますがとても効果がある機能です。
3、XMLRPC防御
スマホを使って記事を投稿していない人、つまりPCしか使わない人はタイプをXMLRPC無効化に変更します。そして保存します。
もし、あなたがスマホでブログを書いている場合、XMLRPCを無効化してしまうとスマホから投稿できなくなってしまいます。スマホを使っている人はピンバック無効化にチェックを入れてください。
"xmlrpc.php"ファイルはハッカーの格好の標的になっています。このファイルはスマホでブログを書いたりするときに使うものです。スマホでブログを書かない場合は無効にすると安全です。
SiteGuard WP Plugin:できればやっておきたい3つの設定
ここからは、デフォルトでも大丈夫だけれどできればやっておきたい設定を3つ紹介します。
管理ページアクセス制限
この設定は中級者、上級者向けです。WordPressの使い方に自信がない人はやらない方がいいでしょう。
もし、記事を執筆する場所が一ヶ所と決まっている人、同じとこでしか作業しない人はこの設定をやっておくとより安全です。
次の人は設定しないでください。ノートPCをカフェなどに持っていって作業する人、職場や自宅など複数のPCを使って執筆する人。
この設定をすると一つのIPアドレスでしかWordPressにログインできなくなります(24時間で解除)。つまりどういうことが起こるかというと、カフェで作業したら24時間は自宅で作業ができなくなるということです。同じように職場のPCでログインすると24時間は自宅のPCでログインできなくなります。
また、一ヶ所で作業をしていてもルーターの調子でIPアドレスが変わってしまいログインできなくなるケースもあるようです。24時間で解除されますが。
ログインできなくなっても.htaccessというファイルをいじれば解除できます。.htaccessファイルの書き換えの仕方に自信がない人は見送った方がよいでしょう。
以上のことに納得できれば設定をオンにしてください。
ログインロック
ログインを立て続けに失敗したユーザーを一時的に締め出します。デフォルト設定のままでも大丈夫ですが心配な人は設定を厳しくするのもいいでしょう。その場合、「期間を30秒に、ロック時間を5分」にします。
- 期間:どのくらいの期間で間違いを記録するか
- 回数:何回間違えたらロックするか。
- ロック時間:対象者をロックする時間。
ログインアラート
WordPressに誰かがログインした時、通知がきます。あなたがログインしても通知が来るのでメールが煩わしい場合は設定をOFFにしてもよいでしょう。
以上でSiteGuard WP Pluginの設定を終わります。おつかれさまでした。