WordPressは何も対策していないと、不正ログインや乗っ取りなどで作成したサイトのデータを失う可能性があります。

プラグインでも簡単にできるので、ぜひセキュリティ対策をおすすめします。

今回はプラグインの「SiteGuard WP Plugin」を入れたので、使い方も含めて記載していきます。

インストールから設定まで操作は簡単ですが、注意点がありましたのでご確認ください。

「SiteGuard WP Plugin」とは

WordPressの「ログイン画面・管理ページのセキュリティ強化」と「ログインの通知・ログイン履歴」を確認できるようにしてくれるプラグインです。
1つのプラグインで複数の機能があり、さらに無料で使用できます。

インストール

プラグイン > 新規追加 から「SiteGuard WP Plugin」で検索します。

SiteGuard WP Pluginのインストールル

設定と注意点

SiteGuard WP Pluginの有効化・注意点

インストールしたらプラグインを有効化します。

有効化すると左メニューに「SiteGuard」の表示が現れます。

ページ上部に「ログインページURLが変更されました。」の表示が出ます。
  また、ここでWPの登録メールアドレスにURL変更のメールが届いているか確認。

ここが注意点!

の記載の通り、この段階でログインのURLが定型の「wp_login.php」からプラグインが作成したURLに変更されています。

変更メールもしくは③「新しいログインページ」のリンクを開いて、そのURLをメモかブックマークしてなくさないようにしておいてください。

※ このURLが不明になってしまうと普通にログインできなくなる可能性が高くなります。

「設定変更はこちら」でログインページのURLについて設定ができます。
※プラグインで作成されたログインページのURLのままで良ければこの作業は必要ありません。

SiteGuard WP PluginのURL変更
3-1. 独自のログインURLに変更したい場合

① の部分に、初期値「login_5桁数字」が入ってますが、好きなURLに書き換えて「変更を保存ボタン」を押す。

3-1. ログインURLをWPのデフォルトの(wp_login.php)にしたい場合

②の部分を「OFF」にして「変更を保存ボタン」を押す。

確認の為、ログインページを表示してログインしてください。

ログインページが表示されず「404ページ」が表示されてしまったら、URLに間違いがあります。

プラグイン有効化後のログイン画面

SiteGuard WP Pluginのログイン画面

プラグインを有効化するとログイン画面に画像認識の項目が追加されます。
これによって、よりログインを複雑化してセキュリティを強化します。

各種設定

SiteGuard WP Pluginのダッシュボード―ド

画像は「SiteGuard WP Plugin」のダッシュボード(初期設定)です。
グリーンのチェックが入ってないものが「ON」になっていない設定です。
各種設定を簡単にご説明します。

【 管理ページアクセス制限 】

管理ページ(/wp-admin/以降)に対するアクセス制限を設定します。
「ON」にすると、 ログインしていないIPからはWordPressの管理ページURL「http://ドメイン/wp-admin」から直接アクセスができないようになります。
( wp-adminの前に/wp/が入る場合もあります。 )
また24時間以上ログインが行われないと、改めてログインが必要となります。

【 ログインページ変更 】

上記で説明したログインページの設定です。
→ 「「SiteGuard WP Plugin」のログインページ設定と注意点」の項目を確認ください。

【 画像認証 】

ログインページ、コメント投稿に画像認証を追加します。
ひらがなと英数字が選択できます。

【 ログイン詳細エラーメッセージの無効化 】

ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返してログイン情報の漏洩を防止します。

【 ログインロック 】

ログイン失敗を繰り返す接続元を一定期間ロックします。
期間・回数・ロック時間を設定できます。

【 ログインアラート 】

ログインがあったことを、メールで通知します。

【 フェールワンス 】

正しい情報入力しても、ログインを一回失敗します。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインできます。

【 XMLRPC防御 】

XMLRPCの悪用を防ぎます。
ピンバック無効化がデフォルトで、XMLRPCを無効化するとXMLRPCを使用したプラグインやアプリの使用ができなくなるので注意が必要です。

【 更新通知 】
セキュリティの基本として、常に最新のバージョンを使用するため、更新が必要になった要素をメールで知らせます。
WordPress、プラグイン、テーマから通知させるものを選択できます。
【 WAFチューニングサポート 】

WAF除外ルールの登録、編集、削除を行います。

【 詳細設定 】

IPアドレスの取得方法を設定します。

【 ログインの履歴 】

ログインの履歴が参照できます。
履歴は、最大10,000件記錄されて、古い物から削除されていきます。

SiteGuard WP Pluginのログイン履歴

ログインURLを忘れてしまったら

ログインURLの確認方法

方法1:新しいログインページのURLを設定すると、管理者にメールでお知らせされます。
「WordPress: ログインページURLが変更されました」というタイトルのメールを探してください。
そちらにURLが記載されています。

方法2:WordPressのインストールディレクトリにある .htaccessファイルを開くと、以下のような記述があります。

 RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]

この中のlogin_xxxxxという部分が新しいログインページの名前です。
http://ドメイン/login_xxxxxとしてページを開きます。
(ドメインとlogin_xxxxxの間に/wp/が入る場合もあります。)

不具合など問い合わせ先

「SiteGuard WP Plugin」 のオフィシャルサイトがあります。
FAQや、日本語にも対応しているので気になる事やわからないことがあったらこちらで確認してみて下さい。

「SiteGuard WP Plugin」 オフィシャルサイト
https://www.jp-secure.com/siteguard_wp_plugin/

まとめ

「ログインページのURLを変更」する際は注意が必要ですが、それ以外は簡単設定で使いやすいプラグインです。
「ログイン履歴」であやしいログインがないかも定期的に確認しましょう。