もし、あなたのWordPressサイトの管理者ページに他者が不正アクセスしてきた場合、あなたは大きな被害を受ける可能性があります。
セキュリティ対策プラグイン「SiteGuard WP Plugin」を使えば、不正アクセスを防ぐためのさまざまな対策をカンタンにできます。
この記事では、SiteGuard WP Pluginの設定方法と使い方を解説します。画像つきでわかりやすく解説するので、WordPressに慣れていなくても迷わず設定できますよ!
- WordPress歴5年(本業&副業)
- 本業でオウンドメディアの立ち上げ&運営責任者
- 副業ブログを180万円で売却した経験あり
本業&副業で得たブログノウハウを、こたまるブログで発信中!
SiteGuard WP Pluginはサイトを守るために導入必須
自サイトの管理者ページに不正アクセスされると、
- サイトの改ざん
- 個人情報の盗難
などの被害を受ける可能性があります。
大切な記事を削除されてしまったり、アフィリエイト報酬が第三者に入るようにアフィリリンクをこっそり書き換えられてしまったり・・・
SiteGuard WP Pluginを使えば、これらの脅威に対してしっかりと対策することができます。
自サイトを守るために、必ず導入することをオススメします。
ブロガーにとってブログは資産。面倒だけどちゃんと対策しておこう!
SiteGuard WP Pluginの導入・設定方法
SiteGuard WP Pluginは、インストールして有効化するだけで、ある程度のセキュリティが担保できます。そして、設定を変更してセキュリティをより強くすることもできます。
以下では、インストール・有効化からオススメの設定を行うまでの手順を、キャプチャ付きで解説します。
1.インストール・有効化
レンタルサーバーによっては、WordPressインストール時のデフォルトでSiteGuard WP Pluginがインストールされていることがあります(ConoHa WINGなど)。
その場合は、そのままSTEP3に進んでください。
SiteGuard WP Pluginを有効化した時点で、
- ログインURLの変更
- 画像認証の追加
など、いくつかの機能が有効になります。
とくに、変更されたログインURLは紛失するとログインできなくなってしまうので、必ずメモするようにしましょう(確認方法は次のSTEP4~5にて)。
クリックすると、新しいログインページに遷移します。
ログインページURLは、以下の形式に変更されています。
- 変更前・・・http(s)://ドメイン名/wp-login.php/
- 変更後・・・http(s)://ドメイン名/login_*****/
※「*****」にはランダム数列(乱数)が入る
この画面のアドレスバーに変更後のログインページURLが表示されているので、必ず確認・メモしておきます。今後は、このURLからのみログインできます。
また、ログイン情報(ユーザー名・パスワード)以外に、「画像認証」が追加されます。
画像認証で表示される文字は毎回変わり、かつ画像であるため、機械では読み取れません。
よって、これを設定しておけば、自動プログラムによる総当たり攻撃(ブルートフォース攻撃)をつかって不正ログインされる確率をグッと下げることができます。
以上でインストール・有効化は完了です。
次に、セキュリティをさらに強化するためにオススメの設定を紹介します。
2.オススメの設定
SiteGuard WP Pluginでは、以下のセキュリティ設定ができます(管理画面のサイドバーで「SiteGuard」をクリックするとこの画面が表示されます)。
緑色のチェックマークが設定済みの機能、無色のチェックマークが設定されていない機能です(上は有効化しただけのデフォルトの状態)。
これらのうち、オススメの機能は以下の通りです。
- 管理ページアクセス制限
- ユーザー名漏えい防御
- ログインページ変更(※任意)
- ログイン履歴(※設定変更ではなく確認のみ)
これらの機能、および設定方法について解説します。
①管理ページアクセス制限
WordPressのログイン後の管理者ページのURLは下記の形式です。
http(s)://ドメイン名/wp-admin/
「管理ページアクセス制限」機能を有効にすると、このURLと配下のディレクトリへアクセスする場合に、以下のような制限がかかります。
- 管理者ページにログインしたことがないIPアドレスからのアクセスを無効化(ログインURLからでないとアクセスできなくなる)
- 管理者ページにログインしたことがあっても、24時間以内にログインしていないIPアドレスからのアクセスを無効化(24時間ごとにログインが必要になる)
設定手順は以下のとおりです。
「ON」が黒背景・白文字で表示されているのが有効化状態です。
24時間ごとにログインしなおすなんて面倒です・・・
たしかにね。けどサイトがハッキングされるのに比べたら遥かにマシ。面倒だけどやっておこう!
②ユーザー名漏えい防御
レンタルサーバー側の設定によっては、ブラウザのアドレスバーに表示されたサイトURL(管理者ページのURLではない)の末尾に「/?author=〇(数字)」と入力してEnterを押すと、ユーザーIDが表示されます。
サイトの管理者だけでなく誰にでもできてしまう操作なので、これによりユーザーIDが漏えいすることになります。
「ユーザー名漏えい防御」機能を使うと、この操作をしてもユーザーIDが表示されなくなり、ユーザーIDを他者からわからないようにすることができます。
もちろん、ユーザーIDだけで管理者ページにログインすることはできませんが、ユーザーIDもわからないようにしておけば不正ログインを防げる確率がより高くなります。
設定手順は以下のとおりです。
③ログインページ変更(※任意)
上で説明した通り、SiteGuard WP Pluginを有効化した時点で、ログインページのURLは以下の形式に変更されます。
- 変更前・・・http(s)://ドメイン名/wp-login.php/
- 変更後・・・http(s)://ドメイン名/login_*****/
※「*****」にはランダム数列(乱数)が入る
この変更後のURLをさらに任意のものに変更することもできます。自分が覚えやすい(かつ他者から類推されにくい)URLにしたり、とにかく長くて複雑なURLにしたりしたい場合に利用しましょう。
個人的には必須ではないと思うけど、気になる場合はやっておこう!
設定手順は以下の通りです。
④ログイン履歴(※設定変更ではなく確認のみ)
ログインされた記録を見ることができる機能です(設定ではなく確認です)。
確認手順は以下の通りです。
見慣れないIPアドレスからのログインなど怪しい履歴がないか、たまに確認してみましょう。
たとえば、身に覚えのないIPアドレスからログインを試みて「失敗」となっているような場合、ログインはされていないのでただちに危険はないはずですが、あなたのログインページURLがハッカーに知られてしまっていると考えられます。
この場合は、上の「③ログインページ変更」で説明した手順でURLを変更しておきましょう。
導入における注意事項
ログインページURLは必ずメモしておくこと!
上で説明したとおり、SiteGuard WP Pluginは有効化した時点でログインページURLが変更されます。
その後は管理画面へのログインは、このURLからしかできなくなるため、必ずメモして、他者に漏れないようにしっかり保管しておきましょう。
ログインページURLを紛失した場合の解決策
じゃあ、URLをうっかり忘れちゃったら、ログインできなくなっちゃうんですか・・・?
大丈夫、安心して!少し面倒だけど、確認する方法があるよ!
ログインページURLを紛失してしまった場合は、WordPressの「.htaccess」というファイルで確認できます。「.htaccess」は、レンタルサーバー上のWordPressをインストールしたディレクトリに入っている設定ファイルの一つです。
確認方法は以下の2通りです。
- レンタルサーバーの管理画面上で確認する
- FTPソフトを使う(中上級者向け)
方法①:レンタルサーバーの管理画面上で確認する
大抵のレンタルサーバーでは「.htaccess」などの重要なファイルを管理画面上で確認することができます。
以下、 私がオススメするレンタルサーバー 「ConoHa WING」での確認手順を解説します。
対象のドメインになっていない場合、以下の手順でドメインを切り替えてから後続に進みます。
http(s)://ドメイン名/********/
の「********」を、上で確認した文字列に置き換えたものが、ログインページのURLです。
方法②:FTPソフトを使う(中上級者向け)
「FileZilla」や「FFFTP」などのFTPソフトを使って確認することもできます。
「.htaccess」は以下のディレクトリにあります。
/public_html/ドメイン名
※ドメインのルートディレクトリ
「.htaccess」は、大抵のサーバーでは方法①のようにサーバー管理画面から確認することができます。
しかし、FTPソフトを使わないと参照・編集できないファイルもあります。
FTPソフトは、ブログ運営に慣れてきて色んなカスタマイズがしたくなったら、いずれ必要になる。わからない人はそのときに勉強しよう!
まとめ
SiteGuard WP Pluginは、悪意のある第三者による不正アクセスからあなたのサイトを守ってくれる、必須のセキュリティ対策プラグインです。有効化しただけである程度のセキュリティが担保できるうえ、設定をいじることでセキュリティをさらに強化できます。
ただし、変更されたログインページのURLは、紛失すると普通にはログインできなくなってしまいます。必ずメモをとるようにしてください。