SiteGuard WP Plugin の設定方法【セキュリティ対策】

※この記事は「2021年9月26日」に更新しました。

WordPress(ワードプレス)は、ユーザー数が多いので、セキュリティ対策は必須です。

  • 自分のサイトにログインできなくなった
  • 自分のサイトが表示されなくなってしまった

このような現象は、他人事ではありません。

WordPress が乗っ取られてしまうと、いずれもあり得ることなのです。

今回、紹介する SiteGuard WP Plugin は導入して、少し設定するだけで、セキュリティ強化になります。

記事を書いている管理人の経歴は、以下の通りです。

  • WordPress歴、約10年
  • 基本情報技術者資格所有(ソフト開発の国家資格)
  • パソコン販売歴、約5年

企業で学んだ、ユーザー視点、開発者視点を活かして、解説していきます。

SiteGuard WP Plugin の設定方法

まずは、SiteGuard WP Plugin をインストールします。

SiteGuard WP Plugin

WordPress(ワードプレス)管理画面から プラグイン → 新規追加 をクリックします。

プラグインの検索 で SiteGuard WP Plugin と入力します。

今すぐインストール をクリックします。

インストールが完了したら、有効化をクリックします。

すると、WordPress の管理者メールアドレス(設定 → 一般設定)に、ログインページが変更されたことが通知されます。

これだけでもセキュリティ強化になります。

ただし、ログイン URL が変更になっているので、ブラウザにブックマークをするのを忘れないようにしましょう。



おすすめの設定方法

基本的に初期設定で問題ありませんが、私がやっているおすすめの設定を紹介します。

  • ログインページ変更の 管理者ページからログインページへリダイレクトしない にチェックする
  • ログインアラートを OFF にする
  • 更新通知を OFF にする

まず、ログインページ変更の 管理者ページからログインページへリダイレクトしない にチェックを入れましょう。

これは、WordPress の親切機能で、以下のように入力しても、ログインページへリダイレクト(転送)されるからです。

https://独自ドメイン/wp-admin

したがって、リダイレクトできないようにします。

ログインアラートを OFF にするのは、好みの問題ですが、私はメールが頻繁に届くのが嫌なので無効にしています。

更新通知を OFF にするのも、同じ理由です。

もっと詳しく設定したいという方へ

もっと詳しく設定したいという方へ、それぞれの設定項目を紹介します。

設定項目 内容
管理ページアクセス制御 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守る機能
ログインページ変更 ログインページ名を変更する機能
画像認証 ログインページ、コメント投稿に画像認証を追加する機能
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返す機能
ログインロック ログイン失敗を繰り返す接続元を一定期間ロックする機能
ログインアラート ログインがあったことを、メールで通知する機能
フェールワンス 正しい入力を行っても、ログインを一回失敗させる機能
XMLRPC防御 XMLRPCの悪用を防ぐ機能
ユーザー名漏洩防御 ユーザー名の漏えいを防ぐ機能
更新通知 WordPress、プラグイン、テーマの更新が必要になった場合にメールで通知する機能
WAFチューニングサポート WAF(SiteGuard Lite)の除外ルールを作成する機能

例えば、セキュリティをもっと上げたいのであれば、フェールワンスを有効にしても良いでしょう。

しかし、毎日ログインするような方であれば、正直そこまでは必要ないのではないかと思っています。

ユーザー名漏洩防御に関しては、以前紹介した Edit Author Slug というプラグインを導入していれば、必要ないかと思います。

Edit Author Slug の設定方法【セキュリティ対策】

Edit Author Slug の設定方法【セキュリティ対策】

2021年5月2日

ログインができなくなった方へ

ログイン URL が変更になり、ログインできなくなった方は慌てないで、以下を確認しましょう。

  • 通知メールを確認する
  • .htaccess という設定ファイルを確認する

通知メールを確認すると、変更した URL が記載されているはずです。

管理者メールアドレスを忘れてしまったという方は、最終手段ですが、.htaccess という設定ファイルを確認します。

例えば、エックスサーバーの場合、サーバーパネルから .htaccess という設定ファイルの中身を確認することができます。

中身を確認すれば、変更したもの(初期設定だと login_5桁の数字)が記載されている部分があるかと思います。

ちなみに編集は、上級者向けなので、おすすめしません。

最後に

いかがでしょうか。

今回は、SiteGuard WP Plugin の設定方法について、解説しました。

どこまでセキュリティを強化するかですが、基本的な部分だけ設定しておけば、守ってくれます。

そこまで複雑なプラグインではないので、導入することをおすすめします。