

WordPressのセキュリティ対策ってどんな方法があるの?初心者でも簡単にできる方法を教えてほしいな。
こんなお悩みを解決します。
✔本記事の信頼性
プロフィール・ueha-su(@sedorisuta)
ブログ・インスタ・Twitterなど各種媒体を展開中。
WordPressのセキュリティをしっかり行っていますか?
僕は過去に不正アクセスを受けたことがあるのですが、被害が出てから思ったのが、もっと早くからセキュリティを強化しておけば良かったということです。
不正アクセスを受けると、甚大な被害を受けてしまいます。甘く考えていると、大きな痛手を負ってしまうので、しっかりセキュリティ対策をして頂ければと思います。
目次【読みたいところだけ読めます】
初心者にこそセキュリティ強化のプラグイン『SiteGuard WP Plugin』は必須!
WordPressって、専門的な知識がいらないCMS(コンテンツマネジメントシステム)のため、世界中で広く使われるようになっています。そして、世の中の多くの人がWordPressを使うと、やっぱり不正利用をしようと考える人もいるわけです。
悪意のあるウィルスがその代表格ですね。他にもWordPressを狙う悪質な攻撃があります。
その1つにブルートフォースアタックと呼ばれるものがあります。
ブルートフォースアタックとは?
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
セキュリティ対策をしないと、自分に大きなダメージがあるのですが、そうはいってもブログ初心者の場合どうやってセキュリティ強化をすれば良いのかわからない事が多いです。
ということで、今回は初心者でも簡単にセキュリティ強化ができるプラグイン『SiteGuard WP Plugin』をご紹介します。
このプラグインは数回クリックするだけで、セキュリティを強化出来るのでWordPressを使いこなしていない人には最適なプラグインです。
SiteGuard WP Pluginの導入方法
まずは、ダッシュボードから【プラグイン】→【新規追加】をクリックしてください。
次に下記の画面に移動しましたら「SiteGuard WP Plugin」と検索窓に入力してください。入力しましたら、左に表示されているSiteGuard WP Pluginをインストールして有効化してください。
そうすると、左の項目の中にSiteGuardという項目が現れますので、カーソルを乗せると各種項目が出てきます。
ダッシュボードからの選択
SiteGuardには項目ごとに設定が可能なので、今回オススメする設定方法を紹介していきます。
まずはSiteGuardの項目にカーソルを乗せて、ダッシュボードをクリックします。
そうすると下記の画面に移動します。
ダッシュボードを見ると、このプラグインで、どういうセキュリティ対策が出来るのか教えてくれます。
緑色にチェックが入っているのが現在セキュリティが有効になっている箇所です。
そして、一番下にログイン履歴があります。
ここを確認すると、ログイン「成功」「失敗」と両方、そして誰がログインしようとしたのかがわかります。
ここで知らないログインIDがあったら・・・・・・・怖いですね~。
それだけ自分のサイトは狙われているということです。
管理ページアクセス制限
ログインしてないIPアドレスから、WordPressの管理画面へアクセスできないように設定します。
管理画面へ侵入を防いでくれます。侵入を試みようとすると404 Not Foundページを表示します。
ただ、この設定ですが、旅行や外出中先のWi-Fiなどを使っても、404 Not Foundが出るので、外出中にWordPressにログインしたい場合は、OFFにする必要があるので、使い分けが大切です。出かける前には忘れずに。
ログインページ変更
WordPressのログインページを別のURLに変更することが出来ます。
WordPressの通常ログインページURLは「http://ドメイン/wp-login.php」です。
このログインページのURLを変更することが可能です。
変更したURLは絶対に忘れないように保存してください!
もし忘れてしまった場合、WordPressにログインするためにはかなり面倒な作業が必要になります。
SiteGuard WP Plugin の導入後にWordPress管理画面にログインできない場合
ログインページのURL変更をしたら、変更されたURLは忘れないように保存しておくことは必須です。
しかし、なんらかの理由でサイトログインURLを忘れてしまった・・・・という場合もあるでしょう。
そんな時にできる対策は2つです。
①メールを確認する
② .htaccessファイルを確認する
まずは『①メールを確認する』ですが、ログインページを変更すると、WordPressの管理者あてにメールで通知されます。
「WordPress: ログインページURLが変更されました」という件名に変更したログインURLが記載されています。
もし、メールが確認できないようでしたら②の『 .htaccessファイル』を確認しましょう。
『.htaccessファイル』の確認方法
『.htaccessファイル』とはWebサーバーの基本的な動作を、ディレクトリ単位で制御するためのファイルのことです。
SiteGuard WP Pluginを有効化すると、新しいログインURLに関する情報が.htaccessファイルに追記されます。
この『.htaccessファイル』に記述されたものを削除することで、ログインすることができます。
まずはサーバーにアクセスする必要があります。
僕はエックスサーバーを利用しているので、本記事では『エックスサーバー』で解説していきます。
エックスサーバーのXserverアカウント(旧インフォパネル) からログインし『サーバー管理』をクリックしてください。
サーバー管理をクリックしたら左側に『設定対象ドメイン』がありますので、目的のドメインを選択してください。
設定対象ドメインを選択したら『ホームページ』⇒『.htaccess編集』をクリックしてください。
『.htaccess編集』をクリックし下の画像のように『.htaccess編集』をクリックしてください。
そうすると.hataccessの記述が表示されますので#SITEGUARD_PLUGIN_SETTINGS_START から#SITEGUARD_PLUGIN_SETTINGS_END までを削除してください。
.hataccess編集の記述を調整する前に必ずバックアップをしてください!
誤って必要な記述を削除してしまうと、WordPressの管理画面に入れなくなったり、自分のサイトにアクセスしてもエラーが表示されるようになってしまいます。

WordPressのバックアップは初心者でも簡単にできる【初心者はこれでOK】WordPressを簡単にバックアップ&復元できるプラグインUpdraftPlusの設定と使い方を解説の記事を読んでみてね!
指定した箇所を削除しましたら、『確認画面へ進む』をクリックして終了です。
これで管理画面にログインができるようになります。
画像認証
ログイン画面に画像認証を設置できます。
実際にどんな画面になるかというと・・・・・・・・
通常のログイン画面に画像に表示された文字を入力しないとログインできません。
この文字ですが、「ひらがな」と「英語」の2パターンが使用できます。
画像認証まで追加すると、格段に不正アクセスされづらくなるので設定しておきましょう。
ログイン詳細エラーメッセージの無効化
WordPressは物凄く親切なので、ログインに失敗した時にユーザー名が間違っているのか、パスワードが間違っているのかを教えてくれます。
これって相手に「どちらか合っているよ」と教えているようなものです。
1つが分かってしまうと、突破される確率が一気に上がってしまうので、ログイン詳細エラーメッセージの無効化を「ON」にしておきましょう。
この設定を「ON」にしておくと、「エラー:入力内容を確認の上、もう一度送信してください。」と表示されるだけなので突破されにくくなります。
ログインロック
ログインロックはデフォルト(初期設定)では、5秒間に3回ログイン失敗すると1分間ロックされるようになっています。
ブルートフォースアタックに非常に有効な対策です。
繰り返し何度も攻撃してきても途中でロックされるので、その間は無視することが出来ます。この設定は非常に効果が高いので、必ず「ON」にしておきましょう。
ログインアラート
ログインした時にメールでお知らせしてくれます。自分がログインした時にもメールでお知らせしてくれるのですが、不正ログインもお知らせしてくれるので、設定は「ON」にしておきましょう。
フェールワンス
この設定をしておくと初回は必ずログイン失敗します。つまり、正しいログインIDとパスワードを入力しても必ず失敗するようになっています。要するに、偽装出来るということですね。
ただ、僕みたいに忘れっぽい性格だと、正しいIDとパスワードを入力したのに、何で入れないの?となってしまうので、僕はこのフェールワンスの設定は「OFF」にしています。
XMLRPC防御(ピンバック無効化)
ピンバックによる不正な攻撃を防げます。
ピンバックとは、ブログにリンクが貼られた事を教えてくれる機能です。
何でピンバックのセキュリティが必要かというと、DDos攻撃というのがあってハッカーが無数のサイトからある特定のサイトに大量のアクセスを流して、サーバに負担をかける方法があるのです。
今回の設定方法ではこのピンバック無効化は「ON」にします。
更新通知
この設定は、WordPressの更新やプラグインの更新をメールでお知らせしてくれる機能です。
セキュリティと言えばパスワードと考える人も多いですが、実はWordPressの更新やプラグインの更新をサボっているとそこを突かれて不正アクセスされる事があります。
なので、この更新通知は「ON」に設定しておき、更新通知が来ましたらこまめに更新しておきましょう。
WAFチューニングサポート
ここのWAFというのは、Webサイト上のアプリケーションに特化したファイアウォールの事です。
さくらサーバやロリポップを使用している場合はこのWAFを使用していますので、WAFの誤認対策をする場合には「ON」にしておいた方がいいですが、僕はWAFを使ってないのでOFFにしてます。
簡単にセキュリティ対策が可能!SiteGuard WP Pluginの設定方法を解説|まとめ
今回はセキュリティ強化のプラグインを紹介しました。僕もセキュリティにはちょっと認識が甘かったところもあったのですが、不正アクセスを食らって被害が出たことによって、
「やっぱりこれはしっかりやらないかんでしょ!」
ということになり、セキュリティ強化のプラグインを導入しました。
ただ、セキュリティってプラグインを入れたから安心というわけではなく、常日頃からセキュリティには意識をしっかり持っておくことが大切です。
いつ自分が被害にあうとは限らないので、しっかり対策をしておきましょう。