今日はお散歩に出かけて、桜の花と梅の花を満喫してきました。
気温も結構暖かく、もう春着てますね~。
さて、最近知ったプラグインなんですが『SiteGuard WP Plugin』というもの。
きっかけは、ヘテムルでWordPressを自動インストールした時に、最初から入っていました。
Akismetは商用利用は有料なので使えず、かといって他にいい感じのセキュリティプラグインを見つけきれてなく、このプラグインが国産ということもあって、とりあえずお試しで使ってみました。
使ってみるともうAkismetなんか使わなくても、十分有り余るくらいのプラグイン。
いやぁ、これは使ってみるべきですよ。
目次
SiteGuard WP Pluginの機能
『SiteGuard WP Plugin』を一言で言うと、これまで分散していたプラグインをギュッと固めて、更に使いやすさを向上させたプラグイン。といったところでしょうか。
つまり、これまでは一つ一つの機能がばらばらで、それぞれプラグインを導入していたものが、たったひとつのプラグインで完結してしまいます。
その機能は10個。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- ピンバック無効化
- 更新通知
- WAFチューニングサポート
もちろん全部使わなくても自分に必要な部分だけを使える便利な設計です。
各種設定方法
それではそれぞれの機能を簡単に説明します。
プラグイン設定画面のダッシュボードで、今有効な機能がわかります。
そして機能のON、OFFは、機能ページの一番上にあるボタンで切り替えができます。
ただし、注意して欲しいのは、ここを切り替えるだけでなく、ちゃんと[ 変更を保存 ]ボタンを押すこと。
なんどかこれ押し忘れちゃってました。
管理ページアクセス制限
wp-adminディレクトリへのアクセスを弾く機能です。
ログインするとIPアドレスが登録され、24時間有効になります。
つまりログインしていないIPアドレスは、wp-adminディレクトリへアクセスすることができません。
ログインページ変更
ログインページのURLをデフォルトの『http://ドメイン/wp-login.php』から、変更してくれます。
つまり、『WordPressで作られてるから、ログインページはここだな』という攻撃が通用しなくなります。
基本的には『http://ドメイン/login_0000』という形になりますが、もちろん違う形にも変更できるので、ログインページを知るのはかなり難しくなると思います。
個人的にはこの機能がかなり重要だと思ってます。
画像認証
ログイン、コメント、パスワード忘れ、ユーザー登録画面において、画像認証機能を追加することができます。
ログインIDとパスワードをランダムに攻撃されるといつかは破られてしまいますが、ここに日本語の画像認証がつくと、かなり難易度が上がると思います。
これならロボットから攻撃されても難しいのでは?
ログイン詳細エラーメッセージの無効化
ログインに失敗すると『ユーザー名が違います』『パスワードが違います』といったエラーメッセージを出すものもありますが、この機能を使うと例えば『ログイン情報が違います』といったように、何を間違っても同じメッセージを出すことができます。
そのため、何が違うのか。を把握することができなくなります。
ログインロック
今、僕が入れているのが『Login LockDown』というプラグインですが、それと同じように一定回数ログインに失敗すると、しばらくログインできなくなる機能です。
やはりそれ専用ではないため、機能としては『Login LockDown』に劣りますが、これでも充分だと思います。
ログインアラート
どのユーザーがログインしたのかを通知してくれます。
もちろんそこでは、IPアドレスなどの情報もわかるので、不正ログインかどうかを知ることができます。
ただちゃんと設定しておかないと、通知が結構頻繁にくるような状況になってしまうと、逆にうっとおしいかもしれませんね。
フェールワンス
必ず1回ログインに失敗する機能です。
なぜこんな機能が?とお思いかもしれませんが、機械的にログインさせようとしてくるものに対して、ログインIDとパスワードの組み合わせで、一度失敗すると次の組み合わせに進むわけです。
つまり、本当は正しいログインIDとパスワードでも、通過してしまうので、ログインされることがないんです。
ただ気になるのは、これを見越したロボットが出てきて、『必ず2回試す』といったものになるとあまり効果はないかもしれませんね。
ピンバック無効化
ピンバックを利用した攻撃があるそうで、そのためにピンバックを無効化する機能です。
そんな攻撃があるんですね。
更新通知
WordPress本体とプラグイン、テーマの更新通知が管理者宛にメールで届く機能です。
管理画面上には管理者以外にも表示されるので、気になる人はfunctions.phpで更新通知を管理者以外には表示させないようにしておくのがいいかと思います。
WAFチューニングサポート
ロリポップのセキュリティ対策で知ったWAF(ワフ?)ですが、このWAFチューニングサポート機能は
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に
という条件があるので、注意が必要です。
ロリポップ系なら大丈夫なのかな。と思ってたら、『SiteGuard WP Plugin』を推奨するお知らせを見つけました。
WordPressへの攻撃に対する検知・防御機能に関して – 2015年01月26日 / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
だから多分使えるんじゃないんでしょうか。
勝手に気になる点
セキュリティ系のプラグインに容易に手が出しづらい理由として、いろんな情報をプラグイン製作者に持っていかれる可能性があるから。というのが個人的にあります。
なんかちょっと意地悪というか、僕が曲がった精神持ち主っぽいですが、『SiteGuard WP Plugin』を提供している『株式会社ジェイピー・セキュア』も完全無償で提供しているわけではないと思ってますし、何かしらの見返りがないとおかしいと思ってます。
あくまでもこのプラグインは大物を釣るための撒き餌であって、どんな漁場なのか、どんな魚がいるのかといった情報を収集されていることでしょう。
だからこそ国産という部分で外国産プラグインよりもマシかな。と思ってたりします。
まとめ
これが無料提供されているのが、ホント不思議なくらいのプラグインです。
実際Akismetとかだと有料部分も含まれていたりするわけで。
今までいろんなプラグインに分かれていたのをひとまとめにできているので、管理性も高いですし、それぞれの設定も非常に簡単です。
Akismetは商用利用は有料だし、他のプラグインたくさん入れるのもめんどくさいし、なんかいいセキュリティ系プラグインないかなぁ。とお探しの方には非常におすすめのプラグインですよ。
これを入れて快適なWordPressライフを。
そいぎ~。
2 コメント