Word Pressのセキュリティ対策「SiteGuard WP Plugin」コメント画像認証の設定

SiteGuard WP Pluginとは?

Word Press(ワードプレス)のプラグイン。

「SiteGuard WP Plugin」の特徴はセキュリティ強化が優れています。Word Pressログインページ変更(ログイン時のURL変更)や、コメント投稿をするときに画像認証を求める機能など。

セキュリティの隙間を狙われ悪用されることが多いWord Pressには必須なプラグインだと思います。

スポンサーリンク


セキュリティ・スパムコメント対策

初期からインストールされているAkismet Anti-Spamでスパムコメントを除外できますが、海外からのスパムコメントが目立ちます。

SiteGuard WP Pluginにはコメントをする際にひらがな画像認証を求める機能がついています。

同様にWord Pressログインページにもひらがな画像認証を設定できます。

プラグイン インストールから有効化

  1. WordPress画面 プラグインの中から新規追加
  2. EWWW Image Optimizerプラグインをアップロードまたはキーワード検索
  3. 今すぐインストール後「有効化」をクリック
  4. 「有効」と表示が変わりインストールと有効化が完了

SiteGuard WP Plugin 機能一覧

管理ページアクセス制限ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更ログインページ名を変更します。
 画像認証ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラートログインがあったことを、メールで通知します。
フェールワンス正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御 XMLRPCの悪用を防ぎます。
更新通知 WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
WAFチューニングサポート WAF (SiteGuard Lite)の除外ルールを作成します。WAF (SiteGuard Lite)の除外ルールを作成します。

管理ページアクセス制限

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

ログインページ変更

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

画像認証

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。

ログイン詳細エラーメッセージの無効化

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログインロック

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。

ログインアラート

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。

フェールワンス

リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

XMLRPC防御

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。

更新通知

セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

WAFチューニングサポート

WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

俺wikiでは管理ページアクセス制限・フェールワンス・WAFチューニングサポート以外はすべて設定しています。

SiteGuard WP Pluginを使った感想

アクセス数が物凄い低い俺wiki.comでも数件のスパムコメントがきています。

Akismet Anti-Spam (アンチスパム)も有効化されているので除去してくれてますが、画像認識を導入してからスパムコメントがこなくなりホッとしてます。

Word Pressで運営していく中、セキュリティはしっかり自分で対策しないと後が怖いですからね。

スポンサーリンク
Word Pressのセキュリティ対策「SiteGuard WP Plugin」コメント画像認証の設定
この記事をお届けした
俺wiki.comの最新ニュース情報を、
いいねしてチェックしよう!
スポンサーリンク



シェアしてもらえると嬉しいです!

フォローはこちらから