初期状態のWordPressのログインページには、実は誰でもアクセスすることが可能です。
サイトのURLの後に「/wp-admin」もしくは「/wp-login.php」を付けるだけなので、不正ログインされてしまう可能性があります。
今回は、不正ログインなどからサイトを守ってくれる、「SiteGuard WP Plugin」というセキュリティ強化のプラグインの設定方法についてご案内していきます。
「SiteGuard WP Plugin」の機能の一例
- ログイン画面のURLを変更
- 管理画面のアクセス制限を設定
- ログイン時の「かな入力」による画像認証機能の設定
- ログイン連続失敗でのロック機能
それでは設定方法についてご案内していきます。
SiteGuard WP Pluginのインストールと有効化
「プラグイン」→「新規追加」の順にクリックします。
検索窓に「SiteGuard WP Plugin」を入力するとプラグインが出てくるので、「今すぐインストール」→「有効化」の順にクリックしてください。
有効化すると同時に基本機能が作動し、セキュリティが強化された状態になっています。
例えば、WordPressにログインする際はユーザー名とパスワードのほかに、「かな入力」が求められるようになります。
続いて、各項目の設定方法についてご案内していきます。
SiteGuard WP Pluginの各種設定方法
「SiteGuard」→「ダッシュボード」の順にクリックすると、各設定画面に切り替わるのでそれぞれ設定を行っていきます。
まずは、「ログインページ変更」を選択します。
ログインページ変更の設定
変更後のログインページ名:ドメイン名以降のURLを、他人に推測されにくいログイン名に変更する
「変更を保存」をクリックして、設定は完了です。
これでログインページのURLが初期状態から変更されて、「/wp-login.php」を使ったログインページへのアクセスはできなくなります。
ただし、このままだと「/wp-admin」でアクセスした場合は、リダイレクトされてログインページが表示されてしまいます。
これを防ぐためには、オプション箇所の「管理者ページからログインページへリダイレクトしない」にチェックを入れて「変更を保存」をクリックします。
これで、変更後のログインページ名で設定したURL以外からはログインページにアクセスできないようになります。
※ログインページ名を変更したら、変更したログインURLを忘れないようにメモするか、新しいログインURLでWordpressにログインし直してブックマークをしておきましょう。
ここで変更したログインURLは、ConoHaWINGの管理URLには反映されず初期URLのままなので、忘れてしまうとログインができなくなってしまいます。
画像認証の設定
任意のものにチェックを入れる
それぞれに画像認証を設けることができます。ひらがなと英数字から選択できます。
画像認証が不要な場合は、「無効」を選択します。
ログイン詳細エラーメッセージの無効化の設定
「ON」にする
ログインに失敗した場合に表示されるメッセージを固定化してくれます。
ログインに失敗した原因が「ユーザー名」なのか「パスワード」なのか分からないようなります。
ログインロックの設定
「ON」にする
短時間に何度もログイン失敗を繰り返す端末を一定期間ロックする設定です。
「期間」「回数」「ロック時間」をそれぞれ設定しましょう。
総当たり攻撃に有効です。
ログインアラートの設定
デフォルトのままでもOK
ログインがあるたびにメールで通知するのかを設定します。
第三者が不正ログインした場合もすぐに通知されるので、一定のセキュリティ効果があります。
フェールワンスの設定
デフォルトのままでもOK
「ON」にすると、初回のログインを失敗させてくれます。
正しいユーザー名とパスワードでログインしても初回はわざと失敗させるので、第三者には失敗したと思わせることができます。
XMLRPC防御の設定
「ON」にして、「XMLRPC無効化に変更」を選択する
悪意ある第三者が、複数のコンピュータからあなたのサイトやサーバーに大量にアクセスすることで、他のユーザーがアクセスできなくなる「DDoS攻撃」などの悪質な攻撃から守ってくれるようにする設定です。
ユーザー名漏えい防御の設定
「ON」にする
WordPressではサイトURLの後に「/?author=0」と入力すると、ユーザー名がバレてしまいます。
ユーザー名がバレてしまうと、パスワードの総当たり攻撃で突破される危険性があるので、ユーザー名が第三者に漏れるリスクを防止する設定です。
更新通知の設定
デフォルトでもOK
「WordPress」「プラグイン」「テーマ」に更新があった場合にメール通知するかどうかの設定です。
更新通知をいち早く知りたい方は「ON」にしましょう。
以上で「SiteGuard WP Plugin」の設定のご案内はは終了です。
サイトの安全を考える上で、セキュリティプラグインは必ず導入しておきましょう。
番外編:突然WordPressにログインできなくなったら
この設定とは別に、私自身WordPressの作成して半年ほど経った頃に、急にログインできなくなったことありました。
現在まで実害はないので不正ログインではないのかもしれませんが、気持ち悪さが残っていて早く設定するべきだったと後悔しています。
ログインできなくなった時に取った対応を記事にしてみたので、よろしければご参考くださいませ。
【簡単】WordPressにログインできない場合の対処法