結構有名なサイトでもログイン画面URLがデフォルト状態のままだったりしますが、Wordpressの管理画面URL変更は非常に重要なセキュリティー対策です。

ログイン画面にたどり着く事ができなければ、不正ログイン自体が発生しないのですから。

今回は管理画面URL変更を簡単に行えるプラグイン「SiteGuard WP Plugin」の使い方を解説します。管理画面URL変更だけじゃなく、非常に有効なセキュリティープラグインです。

sg01

「SiteGuard WP Plugin」のメリット

管理画面URL変更は.htaccessやfunctionファイルを編集して手動で変更する方法もあります。

プラグインで対応する場合、表示速度や脆弱性のデメリットもありますが、「SiteGuard WP Plugin」は画像認証や認証回数制限などの機能もあるので手動で対応するよりもメリットが大きいです。

ちなみに、Googleの「PageSpeed Insights」でサイト読み込みテストをしたところ、プラグイン導入前と導入後でほぼ変化は見られませんでした。

PageSpeed Insights:https://developers.google.com/speed/pagespeed/insights/?hl=JA

「SiteGuard WP Plugin」でできる事

管理画面URL変更が主な目的ですが、それ以外にも様々なセキュリティー機能があります。

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • 認証失敗ログインロック
  • ログインメール通知
  • フェールワンス機能
  • 更新メール通知
  • XMLRPC無効
  • WAFチューニング

それぞれの機能と設定方法を解説していきます。

「SiteGuard WP Plugin」の機能と設定方法

毎度のことですが、設定変更する際は必ずバックアップ取得してから行いましょう。

なお、プラグインをインストールして有効化するだけで、管理画面URLが変更されるので注意して下さい。

有効化だけして設定は翌日にやろうとすると、管理画面入れなくなる場合があります。

sg011

もし、そのような場合はメール通知されているので、そちらから変更された管理画面URLを確認して下さい。

管理ページアクセス制限

sg02

ログインしていない接続元から管理ディレクトリ(/wp-admin/)へアクセスがあった際に、404エラーを返します。デフォルトはoffです。

固定ipアドレス(グローバル)ならば、この機能を有効にしてもいいですが、使用する端末が複数あったり、色々な環境からアクセスするのであればoffのままにしておきます。でないとIPアドレスが変わるたびに管理画面に入れなくなります。

ログインURL変更

sg03

管理ページのログインURLを変更できます。プラグインを有効化するだけで強制的に「login_○○○○」の乱数字に設定されます。こちらは任意のURLに変更しておきましょう。変更したら、ブックマークも変更するのも忘れずに。

画像認証

sg04

ログインページやコメントページなどに画像認証を追加します。デフォルトでonです。画像認証は最初のうちは少し面倒に感じるかもしれませんが、すぐに慣れます。

sg05

ログイン詳細エラーメッセージの無効化

sg06

ログインに失敗した時のエラーメッセージを常に同じものを表示する設定です。ID、パスワードのどちらが間違っているのが親切に教えてくれるので、侵入者からしてみたら重要なヒントになってしまいます。

デフォルトでonなので、そのままにしておきましょう。

ログインロック

sg07

ブルートフォース攻撃など総当たり的な攻撃の対策です。一定時間内に一定回数ログインに失敗したら、その接続元IPアドレスからのアクセスをブロックします。デフォルトでonです。設定値もデフォルトのままで問題ありません。

ログインアラート

sg08

ログインを検知するとメールで知らせてくれます。デフォルトでonです。「ログイン履歴」で確認できるので、頻繁にログインをする人は無効にしてもいいかもしれません。

フェールワンス

sg09

正しいID,PWを入力しても1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。リスト攻撃などの対策です。

デフォルトでoffです。ログインする機会が少ない人だと、この設定をしたこと自体忘れる可能性があるのでoffのままでいいと思います。

XMLRPC防御

sg10

XMLRPCとは外部システムからの投稿などに使用される機能です。この機能を利用して攻撃されるのを防ぐ設定です。デフォルトでonで「ピンバック無効化」のみ設定されています。

「XMLRPC無効化」も設定してしまうと、影響を受けるプラグインやサービスなどが出てくるので、こちらはチェックしないようにしましょう。

更新通知

sg11

wordpress本体、プラグイン、テーマの更新通知をメールでしてくれます。デフォルトでonです。

アクティブなプラグイン、テーマのみ通知する設定がデフォルトですが、使っていないものは削除しておくのが安心です。

WAFチューニングサポート

sg12

サーバーにWAF(Webアプリケーションファイアーウォール)をインストールしている場合の設定です。デフォルトでoffです。

以上で設定は完了です。管理画面ログインURL変更以外は基本的にデフォルトのままで問題ありません。

【編集後記】

管理画面URL変更は基本的なセキュリティー対策ですが、私もこの記事を書くまではデフォルト状態でした。