ブログ

SiteGuard WP Pluginの機能解説と注意点

SiteGuard WP Pluginのロゴアイコン

「SiteGuard WP Pluginってどんなプラグイン?」
公式サイトを読んでみたけど良く分かりません(><)」

という方のために、元・情報処理安全確保支援士の私がなるべく分かりやすく解説します。
皆さまの安全なブログ運営のお役に立てれば幸いです。

アイアンヶ丘
すでにプラグイン導入済みの人に向けた記事です。
インストール方法の説明は省きます
目次

ダッシュボード


SiteGuard WP Plugin のメイン画面です。
公式サイトへのリンクと、各機能の設定ページへのリンクがあります。

順番に説明していきます。

管理ページアクセス制限

機能の解説

 ログインしなければ何もできないようにする
攻撃者は、あなたのサイトのURLを直接叩いて色んな悪さをしようとします。
この機能をONにすると、大事な機能が詰まった管理ページを直接叩けなくなります。
つまり、ログインしなければ何もできないということです。

アイアンヶ丘
ログインしないでも色々やられてしまっては
これ以降の設定があんまり意味ないかもです
 OFFにするとどのくらい危険なのか
実はWordPressを常に最新バージョンに保っていれば、あまり問題ありません。
この機能が真価を発揮するのは、未知の脆弱性に対してだからです。

注意点

 ログイン中でも、IPアドレスが変わると管理ページが見れなくなります。
このとき、ログインページのURLが分からないと面倒なことになります。
その場合の対処は、こちらの公式サイトをご参照ください。

ログインページ変更

機能の解説

 ログインページのURLを変更する
ログインページが攻撃者から見つかりにくくなります。
これはWordPressを運用する上で最も効果のあるセキュリティ対策です。

 OFFにするとどのくらい危険なのか
非常に危険です!実際にパスワードを破られて侵入されるのは、
ほとんどのケースがデフォルトのログインページからです。
ほぼ確実に無差別攻撃の対象になると考えた方が良いです。

オプション
管理者ページからログインページへリダイレクトしない
このオプションを有効にすると、ログインせずに管理者ページへアクセスした場合に404エラーとなります。無効にした場合は、変更後のログインページを表示します。
必ず有効にしましょう。そうでないと、せっかく変更したURLを誰でも簡単に発見できるため、あまりにも無防備です。

注意点

 ここで変更したログインページのURLは、必ずメモするかブックマークしましょう。

アイアンヶ丘
私も以前ログインできなくなりました
あれは焦りましたね

画像認証

機能の解説

 ユーザーが人間であることの確認
ログインやコメントの際、下の画像のような入力項目を追加します。

ひらがな 英数字 無効

これにより、プログラムによる不正ログインやスパムコメントを受けにくくなります。

 OFFにするとどのくらい危険なのか
普通に危険です。単純な攻撃を受けるか受けないかの違いは大きいです。

  • 人間相手にはあまり意味がないのでは?
  • 解析可能なプログラムもあるのでは?

上記のような懸念はあるにしても、外す理由には全くなりません。

アイアンヶ丘
ひらがなが最強ですね

ログイン詳細エラーメッセージの無効化

機能の解説

 ログイン失敗時のメッセージを統一する
ログインページで入力を間違えたときに、表示されるメッセージを以下のように変更します。

ON の場合 OFF の場合
ユーザー名 を間違えたとき 入力内容を確認の上、もう一度送信してください。 不明なユーザー名です。再確認するかメールアドレスによる指定をお試しください。
パスワード を間違えたとき 入力内容を確認の上、もう一度送信してください。 ユーザー名〇〇のパスワードが間違っています。
画像認証 を間違えたとき 入力内容を確認の上、もう一度送信してください。 画像認証が間違っています。
 OFFにするとどのくらい危険なのか
攻撃者に余計なヒントを与えるのはやはり危険ではないでしょうか。

アイアンヶ丘
デバッグするとかでなければ
詳細を出さない方がよいです

ログインロック

機能の解説

 怪しいIPには一定時間ログインさせない
短時間に何度もログインを試してくるIPアドレスを一定時間ブロックします。

 OFFにするとどのくらい危険なのか
一番きつい設定だと、30秒間に3回試行されたら5分間ロック。
一番ゆるい設定だと、1秒間に100回試行されたら30秒間ロック。
それぞれが 1時間に試行される回数は、およそ 33回 と 11,613回です。

OFFにするということは、それ以上の試行をも許可する事になります。

アイアンヶ丘

これらの数字をどう解釈するかは、あなた次第です

ログインアラート

機能の解説

 ログインに成功する度、メールを送信する
送信されるメールの件名と本文は、あらかじめ編集できます。
その内容には、「いつ」「どのサイト」に「どのユーザー」がログインしたか、またログイン時の「IPアドレス」「リファラー(参照元ページ情報)」「ユーザーエージェント(OSやブラウザの情報)」も含めることができます。

オプション
管理者のみ
管理者にログインした場合にのみ、メールを送信するオプションです。
 OFFにするとどのくらい危険なのか
この機能のON/OFFによって不正ログインに遭う確率は変わりませんが、
万一のときリアルタイムに検知できないため、被害は広がりやすいでしょう。

アイアンヶ丘
ログイン履歴だけなら管理ページからも見れますね

フェールワンス

機能の解説

 一度目は必ずログインを失敗させる
ログインページに、正しいユーザー名とパスワード(と画像認証)を入力しても、ログイン失敗とする機能です。
ログインに成功するには、5秒後~60秒後までの間に再度、正しい情報入力する必要があります。

オプション
管理者のみ
管理者のログインにのみ、この機能を有効とするオプションです。
 OFFにするとどのくらい危険なのか
ここまでくるとOFFなのが普通で、ONにしておいたらより安全というレベルです。

アイアンヶ丘
こういう機能があること自体がブラフになり得る
気がするので、なんだかお得感を感じます

XMLRPC防御

機能の解説

 「ログインページを介さずに外部から操作できる機能」の無効化
XMLRPCは、外部から記事投稿や画像のアップロードなどを行う際に利用される仕組みです。
便利な反面、これを悪用したサイバー攻撃も多いためできれば無効にしたいところです。
次の2種類の無効化が選択できます。

  • ピンバック無効化
  • XMLRPC無効化
 OFFにするとどのくらい危険なのか
かなり危険です!
第三者のサイトへのDDoS攻撃が行われるとあなたのサイトが加害者になってしまいます。
ピンバック機能だけでも無効化にしましょう。

注意点

 XMLRPC全体を無効化した場合、プラグインやアプリがうまく動かないことがあるようです。どうしても使用したい場合は、IPアドレスを制限する しましょう。

アイアンヶ丘
私はXMLRPC全体を無効化にしています

更新通知

機能の解説

 WordPress等の更新が必要なとき、メールで知らせる
WordPress、プラグイン、テーマの更新が必要かをチェックします。
そして最新バージョンに更新が必要な場合、管理者にメールを送信します。

 OFFにするとどのくらい危険なのか
とっても危険です。常に最新のバージョンを使用するようにしましょう。
頻繁に手動で更新チェックしている場合でも、ONにしておいた方が良いです。

アイアンヶ丘
重大なセキュリティ更新の場合がありますからね

WAFチューニングサポート

機能の解説

 SiteGuard Lite の誤検知を回避する
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite )が導入されている場合、
誤検知を回避するためのルールを設定するための機能です。
SiteGuard Liteが導入されていなければOFFです。

 OFFにするとどのくらい危険なのか
問題ありません。導入されているのにOFFにしてしまい誤検知によるエラーが発生したところで、それによって危険に晒されるということではないためです。

アイアンヶ丘
私の環境には導入されていませんでした

詳細設定

機能の解説

 IPアドレスの取得方法を設定する
通常は「リモートアドレス」を選択します。
プロキシサーバーや負荷分散装置(ロードバランサー)を経由していてIPアドレスが取得できない場合のみ、X-Forwarded-For(レベル1~3)のいずれかを選択します。

アイアンヶ丘
急にふわふわした話でスミマセン

まとめ


今回はSiteGuard WP Pluginの説明をさせていただきました。いかがだったでしょうか?

これさえ導入すれば万全ということではありませんが、不正ログイン・不正アクセスに対してはかなり効果があるのではないかと思います。

もちろん、WordPress最新バージョンを保つなどの基本的な対策もしっかりと行い、安全にサイトを運用したいものですね。

アイアンヶ丘
最後まで読んでいただき、ありがとうございました。