契約しているホスティング会社のロリポップより、WordPressを使用しているユーザーに対して「SiteGuard WP Plugin」のインストールを推奨するメールが来ていたので早速導入してみた。いままでは個人的にセキュリティプラグインを複数組み合わせて使ったり、.htaccessファイルでホスト以外の接続を除外したりしていたけど、このプラグインは管理ページへのアクセスやログインまわりに特化したオールインワンのプラグインとのことです。
機能一覧 (プラグインHPより引用)
- 管理ページアクセス制限・・・管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
- ログインページ変更・・・ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
- 画像認証・・・ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
- ログイン詳細エラーメッセージの無効化・・・ユーザ名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても下記のエラーメッセージを表示します。
※ログインロック、フェールワンスは、異なるエラーメッセージを出力します。
- ログインロック・・・ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザアカウント毎のロックは行いません。 ログインロックの状態になると、以下のエラーメッセージを表示します。
- ログインアラート・・・不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。※XML-RPCによるアクセスは通知されません。
- フェールワンス・・・リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。 1回目のログイン失敗時は、以下のエラーメッセージを表示します。
- ピンバック無効化・・・ピンバック機能を無効にし、悪用を防ぎます。
- 更新通知・・・セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
- WAFチューニングサポート・・・WebサーバにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
上記のように十分すぎる機能が用意されているのですが、管理ページへ接続したIPアドレスによるアクセス制限、ログインのデフォルトのURL変更、画像認証はかなり有効だと思います。
設定していたとき、ログインページのURLを変更したら404ページが出て焦ったのですが、自分が.htaccessによる制限を解除していなかったのが原因でした。また、その他のセキュリティプラグインとのバッティングもあり得るのでご注意ください。というわけでセキュイティでは不安が多いWordPressですが、このような対策をしておけば少しは安心ですね!
SiteGuard WP Plugin:
http://www.jp-secure.com/cont/products/siteguard_wp_plugin/index.html