サイトを作るとなるとWixやStudioなどノーコードツールを使われることが多くなりましたが、Wordpressの利用率はまだまだトップを走り続けています。
特に、自分でブログサイトを立ち上げるとなったときにはWordpressを選ぶ方は多いと思います。
でも、その一方でこんな不安、ありませんか?
「もし、せっかく書いた記事や作ったブログが、悪意のある誰かに乗っ取られたり、壊されたりしたらどうしよう…」
考えただけで、ゾッとしますよね。
でもセキュリティをしっかり設定することで、多くの脅威から自分のサイトを守ることができます。
「でも、セキュリティってなんだか難しそう…」「専門用語ばかりで、設定を間違えたら逆にブログが見られなくなりそうで怖い…」
そんな不安があっても大丈夫!
手っ取り早く、簡単で堅牢なセキュリティ対策ができる、”無料”の門番『SiteGuard WP Plugin』プラグインをご紹介します。
そもそもSiteGuardって、どんな”門番”?
SiteGuardは、例えるなら「優秀で頼りになる家の警備員」みたいなものです。
具体的には、空き巣(不正アクセス)が嫌がることを、全部先回りしてやってくれます。
- 家の場所を分かりにくくする(管理画面のURLを変更)
- 玄関の鍵を特殊なものに変える(ログインページのURLを変更)
- 「この人は本当に家の住人?」と本人確認する(画像認証)
- 何度も鍵をガチャガチャする不審者を締め出す(ログインロック)
これだけでも対応範囲が広いですよね。
SiteGuardのメリットと、たった1つの注意点
【メリット】
- 無料なのに高機能:これ一つで基本的なセキュリティ対策はバッチリです。
- 安心の日本製:管理画面もすべて日本語なので、直感的に使えます。
- 設定が比較的かんたん:この記事を読めば、15分ほどで完了します!
【たった1つの注意点(デメリット)】
- 設定を間違えたり、設定した内容を忘れると、自分もログインできなくなる可能性がある
「えっ、やっぱり怖いじゃん!」と思うかもしれませんが大丈夫です!
この記事では、そうならないための「絶対にやっておくべき2つの準備」からお教えします。これさえやっておけば、何も怖くありません。安心してついてきてくださいね!
設定前にこれだけはやって!2つの”お守り”
万が一の事態に備えて、作業を始める前に、2つの「お守り」を準備しましょう。たったこれだけで、安心感がまったく違いますよ。
お守り①:ログインURLをコピーして、メモ帳に貼っておく
これから、ログインページのURL(住所)を変更します。もし新しい住所を忘れてしまうと、自分のお家に帰れなくなってしまいますよね。
今のうちに、現在のログインURL( https://あなたのドメイン/wp-admin/ など)をコピーして、PCのメモ帳や手帳に貼り付けておきましょう。
お守り②:バックアップを取っておく
「バックアップ」とは、今のブログの状態をまるごと保存しておくことです。もし何かあっても、このバックアップがあればすぐに元通りに復元できます。
それではいよいよ、無料の門番「SiteGuard」を設定していきましょう!
SiteGuardかんたん設定
ここからは、実際の画面を見ながら一つずつ進めていきましょう。
- WordPressのダッシュボード(管理画面)左側メニューから「プラグイン」→「新規追加」をクリック。
- 右上の検索窓に「SiteGuard WP Plugin」と入力。
- 「今すぐインストール」をクリックし、その後「有効化」をクリックします。
これだけで、あなたのブログに警備員が常駐してくれるようになりました。
でも、ただいるだけではダメですよね。警備員に「ここを重点的にお願いします」と指示を出していきましょう。
左側メニューに「SiteGuard」という項目が追加されているので、クリックしてください。
① 管理ページアクセス制限
これは、ログインしていない人が管理画面(wp-admin)にアクセスできなくする設定です。先程の家の例えでいうと、泥棒に玄関の場所すら教えない、という強力な対策ですね。
- 設定方法: 「管理ページアクセス制限」タブを開き、「ON」にするだけでOKです。
② ログインページ変更
これが一番大事な設定です。
WordPressのログインページは、初期設定だとURLがバレバレ( ドメイン名/wp-login.php )なので、空き巣に狙われやすいんです。
そこで、ログインページのURLを、あなたしか知らないオリジナルの名前に変更してしまいましょう。
- 「ログインページ変更」タブを開きます。
- 「ログインページURLを変更する」を「ON」にします。
- 「変更後のログインページ名」に、あなただけの好きな半角英数字を入力します。(例:
login_12345など) - 一番下の「変更を保存」をクリックします。
超重要ポイント!新しいログインURLを忘れないようにしよう
保存ボタンを押した瞬間に、あなたのブログのログインページのURLが変わります!
新しいログインページのURL( https://あなたのドメイン/login_12345 )は、絶対に忘れないでください!
- 今すぐブックマーク(お気に入り登録)しましょう!
- スマホで写真に撮っておきましょう!
- 手帳にメモしておきましょう!
ログインできなくなった
もし、万が一、本当に万が一忘れてしまったら…落ち着いてください。
サーバーの「ファイルマネージャー」という機能(サーバーのサービスによって名称は変わります)やFTPソフトを使って、SiteGuardの設定を一時的にオフにすれば元に戻せます。
SiteGuardを一時的に無効にする方法
ファイルマネージャーやFTPの設定などは長くなるのでここでは割愛します。
ここでは簡単な流れをご説明します。
- FTPやファイルマネージャーにログインする。
- WordPressをインストールしているフォルダに移動し、「wp-content」→「plugins」フォルダに移動する。
- 「siteguard」フォルダの名前を変更する(例.siteguard_offや_siteguardなど)
- 前のログインページ(
https://あなたのドメイン/wp-admin/など)にアクセスしてログインする。 - ログインできたら③で変更したフォルダ名を元に戻す。
- SiteGuardの設定が戻っているか確認し、ログインURLを確認してブックマークなどする。
ざっとこんな感じです。
新しいログインURLは厳重に管理しましょう。
③ 画像認証
これは、ログイン画面に「ひらがなの画像認証」を追加する機能です。機械(ボット)による自動的な不正ログイン攻撃を防ぐのに、とても効果的です。
- 設定方法: 「画像認証」タブを開き、「ひらがな」にチェックが入っていることを確認して「ON」にするだけ!
次回ログイン時には、IDとパスワードの他に「ひらがな」入力欄が追加されていますので、よりセキュリティは強力になります。
④ ログイン詳細エラーメッセージの無効化
これは、通常だとログインに失敗したときに、「ここが間違ってますよ~」と失敗の原因箇所を教えてくれるところを、失敗した箇所がユーザー名であろうがパスワードであろうが同じエラーメッセージを表示するようにしてくれます。
これによって、入力したユーザー名が存在するかどうかを不正アクセス者に知られにくくすることができます。
どこが間違ってるか教えてくれると管理者には嬉しいんですが、不正アクセス者にとってもありがたいことなので、この機能は有効にしておくのがオススメです。
⑤ ログインロック
これは、ログインに何度も失敗した相手(IPアドレス)からのアクセスを、一定時間ブロックしてくれる機能です。
この機能はブルートフォースアタック(総当たり攻撃)によるログインへの試みを防ぐ効果があり、必須で有効にするべきといっていい項目です。
⑥ ログインアラート
こちらはその名の通り、ログインしたらメールで通知してくれる機能です。
設定画面を開くと、通知するメールの内容を編集することができますが、基本的に変更なしで問題ありません。
⑦ フェールワンス
この機能は、正しいログイン情報を入力しても1回失敗させることで、「リスト攻撃」というサイバー攻撃を防ぎやすくするための機能です。
リスト攻撃とは、パスワードのリストを使って、たくさんのアカウントにログインを試みるサイバー攻撃のことで、1回失敗させれば「そのパスワードは合っていない」と認識させることができるので、悪意ある攻撃を防ぎやすくなります。
⑧ XMLRPC防御
XML-RPC ピンバックを利用したDDoS攻撃と、XML-RPC を利用したブルートフォースアタック(総当たり攻撃)を防ぐ機能です。
本来、ピンバックは他のブログ記事で自分のブログ記事が引用された際に、引用元に通知を送るための仕組みです。
これにより、ブログ間の連携がスムーズになるのですが、これを悪用することで大量の無効または偽装されたピンバックリクエストが同時に押し寄せることで、サーバーは正規のアクセスを処理できなくなり、結果としてWebサイトやサービスが停止してしまう恐れがあるのです。
基本的にWordpress初心者の方は、この機能を有効にしておきましょう。
私も履歴を見たら過去にブルートフォースアタックをされたことが分かり、個人ブログでもこんなにアタックされるのかとゾッとした経験があります・・・🥺
⑨ ユーザー名漏えい防御
WordPressの仕組み上、何も対策をしていないとユーザー名を特定することができてしまいます。
例えば、https://yourwebsite.com/?author=1といったURLにアクセスすると、投稿者IDが 1 のユーザーのプロフィールページや投稿一覧が表示されるようになっています。
たとえ、表示名が直接ユーザー名と一致しなくても、その投稿者IDを持つユーザーが何らかの投稿をしていれば、その投稿者IDは「存在する」ことが確認できてしまうので、これは設定必須の項目といっても過言ではありません。
更新通知
こちらもその名の通り、更新できるプラグインやテーマなどがあったときにメールで通知してくれる機能です。
常に最新の状態に保つことがセキュリティを維持する基本中の基本ですね。
必要な設定は以上です。お疲れ様でした!
実は、基本的な設定はこれだけで完了です!思ったより簡単じゃありませんでしたか?
最後に、設定内容をすべてチェックしたら、一度ログアウトして、新しいログインページのURLから、きちんとログインできるか試してみましょう。
ひらがなの画像認証が表示されたら、設定は成功です!
まとめ:最強の門番を手に入れて、安心してブログを育てよう!
本当にお疲れ様でした!
これで、あなたのブログのセキュリティは格段にアップしました。もう、夜も安心して眠れますね(笑)。
でも、SiteGuardの設定ができたからといってセキュリティ対策を放置するのはNGです。
定期的に不正アクセスをされていないか、されそうになったか、その痕跡をチェックすることも大事です。
セキュリティ対策は、いわば「ブログ運営の土台作り」です。この面倒な作業を乗り越えたあなたは、もう立派なブロガーの一歩を踏み出しています。
あなたのブログが、たくさんの人に愛される素敵な場所に育っていくのを、心から応援しています!