WordPressを使ってるブロガーさんへ、これだけは入れようセキュリティプラグイン

書いてる内容
WordPress初心者のブロガーの方向けにセキュリティプラグインは何を入れる？をまとめました。
難しいことを排除し、読み進めながら目的が達成できるように構成しています。

書いてる人
金融企業で、10年間サイバーセキュリティのリスクアセスメント業務に携わってます。ここ4年ほどは主にWebサイトなどの脆弱性診断のマネジメントを行っています。

はじめまして

アラフォー子育て中Mamamiです。
仕事は、イラストまんがと金融企業でサイバーセキュリティーリスクアセスメントの二足わらじです。

今後ますます重要になるサイバーセキュリティ。
あなたの大切な情報資産やフォロワーの方からの信頼性を守っていくためには、どうしたらいいか。
そのための基礎知識を身に着けていきましょう。

さて。本日は、WordPressのセキュリティプラグインについてご案内します。

１．ズバリ「SiteGuard WP Plugin」がおススメ

おすすめの理由

（１）プラグインをインストールして有効化するだけ

超初心者OK。誰でも簡単に設定できます。

（２）管理画面がすべて日本語

セキュリティプラグインは英語のものも多いです。日本語だと助かりますね！

（３）これ一つで基本的なセキュリティ対策ができる

シンプル！これ最強ですね。

セキュリティ対策の基本中の基本は、入口対策の強化です。まずはご自身が管理しているサイトに、悪意のあるマルウェア（ウィルス）に侵入されないようにしよう！（入口のセキュリティ強化をしよう！）ということです。
入口とは、WordPressの管理画面のうち、ログイン画面のことですね。
「SiteGuard WP Plugin」だけで、基本的なセキュリティ強化機能が実現できるのは心強いです。

２．早速「SiteGuard WP Plugin」をインストール

（手順）
（１）管理画面から「SiteGuard WP Plugin」を検索してインストール

テーマをインストールした方法と同じですね。なお、レンタルサービスによっては、最初から入っている場合があります。

（２）SiteGuard WP Pluginプラグインを有効化する

（注意！）
インストールして有効化すると、自動的にログインページのURLが変更されます。
wp-login.php　→　login_<5桁の乱数>

上記のように変わりますので、「新しいログインページURL」をクリックし、新しいURLを確認したら、必ずブックマークしてください。また同時に、新しいURLを記載したメールが管理者宛のメール（件名「WordPress: ログインページURLが変更されました」）に届きますのでそちらで確認いただくことも可能です。なお、後から好きなURLに変更可能です。

最初は、下記のようにログイン画面下部に画像認証機能が追加されます。

URLを変える目的は？
WordPressのログイン画面は、デフォルトが「https://ドメイン/wp-admin」なんですね。つまり、WordPressのサイトであれば、「/wp-admin」をドメインの後ろにつけるだけで誰でも簡単にログイン画面にアクセスができてしまえます。
入口のURLを自分以外にわからせなくするというのは、とても重要なセキュリテイ対策の1つとなります。

画像認証機能の意味は？
攻撃者は、最初ロボット（ツール）を使って不正アクセスするサイトを探すことが多いのです。そのため、ロボットにとって読みづらい画像を使用することや、認証言語が日本語なので、日本語の読めない外国人（ロボット）にとって解読が困難にな。

（３）有効化直後強化されるセキュリティ機能の確認する

SiteGuardは、有効化したとたん、デフォルトでオンになるものと、デフォルトはオフで後に手動で設定を変えないと利用できないものとがあります。

そちらを確認していきましょう。

管理画面左側に「SiteGuard」（アイコン）が表示されているので、こちらをクリックして設定画面を開いて確認できます。

緑のチェックマークがついている項目がすでに利用中の機能になります。

ログインページ変更
上記ですでに体験したログインページのURLの変更です。好きなURLに変えたい場合は、ここから変えられます。英数字、ハイフン、アンダーバーが使えます。

画像認証
「ログインページ」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」の4つのページに対して画像認証を設置することができます。画像認証の文字は「ひらがな」と「英数字」が選択できます。

ログイン詳細エラーメッセージの無効化
ログインに関するエラーメッセージがすべて同じ内容になります。

エラーメッセージを同じ内容にする目的は？
通常はログインできなかった場合、ユーザー名かパスワードのどちらが間違いなのかが、エラーメッセージによって判明します。しかし、何を間違えても同じメッセージが表示されることで、ユーザー名やパスワードの特定を防げるんです。ユーザー名の存在を調査する攻撃を受けにくくするための機能となります。
一方、当たり前ですが、自身がエラーに見舞われたとき原因が特定できにくくなります。このように、セキュリティ対策とは強化する一方で、使にづらくさせる要因を含んでいることも念頭にとめておくといいでしょう。

ログインロック
何秒間の間に何回ログインできなければ、どれぐらいの時間ロックさせるかを設定できます。不正アクセスはロボット（ツール）を利用して、機械的に何百回と攻撃させる場合も珍しくありません。

ログインアラート
ログインがあると、メールでお知らせしてくれる機能です。身に覚えのないログインが即座に通知されるのですぐに気づけます。ご自分がいつログインしたか確認にもなります。

XMLRPC防御
この名称は、他の名称に比べて、意味不明の方も多いではないでしょうか。わからなくても大丈夫。この機能の設定はまずいじらないでこのままにしてお来ましょう。なお、設定をいじりXMLRPCを無効にすると他のプラグインやアプリに支障が出る場合があるので注意しましょう。
興味のある方はさらに専用サイトで調べてみましょう。

更新通知
前回の記事でもお伝えした「WordPress本体やプラグインのバージョンは常に最新の状態にする」ですが、この機能は、そのプラグインの新しいバージョンがでたことをメールで通知してくれる機能です。漏れがなくて安心ですね。更新の確認は24時間毎となります。

（４）手動でオンにした方がよい機能

管理ページのアクセス制限
「管理ページアクセス制限」から変えられます。デフォルトは、オフになっているので是非オンにしましょう！

ログインしていない接続元IPアドレスからの管理ページ（/wp-admin/以降）へのアクセスをできなくする機能です。404エラー画面が出るようになります。

３．まとめ

個人的には、デフォルトオン＋「管理ページアクセス制限」をオン、でまずよいと思います。
各機能の詳細やその他の機能については、おいおい対応していきましょう。

まずは、簡単な対策として「SiteGuard WP Plugin」を導入する！
これを是非やってみてください。

最後までお読みいただきありがとうございました。