近年、Wordpress本体、もしくはそのプラグインの脆弱性をついて、WEBサイトの改竄があとを絶たない。
特にプラグインは脆弱性が発見されても開発元が開発終了してて、放置されているものも多い。

サイトのデザインがいかにすぐれたものでも改竄されていては話にならない。
かといって導入時にセキュリティってどうしたらいいのかぱっとわからない。

すぐにできる対策をやろう！

1. ユーザー名「admin」 など一般的な名前のアカウントは使用しない。
2. ログインパスワードは10桁以上の英数字（大文字）記号を含めたものにする。
3. SiteGuard WP Plugin を導入する

「SiteGuard WP Plugin」は、国産、無料、簡単、三拍子そろったセキュリティを飛躍的に高めてくれるプラグイン。
さっと導入して枕を高くして寝よう！

まずはインストール

wordpressの管理画面から [プラグイン] - [新規追加]
[プラグインの検索] のフォームに [siteguard] と入力して Enter を押すと一番最初に出てくるのでインストールする。

ダッシュボードと機能の説明

ダッシュボードは以下画像になる。

設定できる項目は全部で１０個。

• 管理ページアクセス制限
• ログインページ変更
• 画像認証
• ログイン詳細エラーメッセージの無効化
• ログインロック
• ログインアラート
• フェールワンス
• ピンバック無効化
• 更新通知
• AFチューニングサポート

一つ一つ見ていこう。

管理ページアクセス制限

有効にすると、ログインしていないアカウントが管理画面にアクセスしようとするとエラーにしてくれる。
有効にしておこう！

ログインページ変更

初期状態のログインページ名はどのユーザーも同じ(ファイル名はwp-login.php)なので、悪者は「http://hoge.com/wp-login.php」に大量にアクセスをしてパスワードを引っこ抜こうと試みる。
そこで、ログインページ名を変更してしまうことで、パスワードを引っこ抜かれる確率がグンと減る！すぐに変えよう（ログインページはブックマークして忘れないように！）

画像認証

管理ページにログイン時の画像に書かれた文字も答えるようにする。英語の画像認証はよくあるが、本プラグインはなんと「ひらがなの画像認証」の設定ができる！
これで、海外からのログイン試行はかなりの確率で防げるはず！すぐに設定しよう。
本設定の有効/無効を「ON」にし、「ログインページ」 - 「ひらがな」 にチェック入れて変更を保存するだけ！

ログイン詳細エラーメッセージの無効化

通常、認証に失敗したとき、何が間違っているのかそれとなくメッセージが出る。
悪者はそれを理解し、攻撃パターンを変えてくる事がある。しかし、本設定を「ON」にすると、ログインのエラーメッセージが全て同じになり、何が間違っているのかわかりにくくなる。

ログインロック

パスワードを少しずつ変え、短時間に何度も何度もログインを試みれば、パスワードを破られるかもしれない。そんなとき、指定した回数ログイン失敗すると一定期間ログインをできないように制御が出来る。これでパスワードを破られるまでにかなりの時間を稼ぐ事が出来る（悪者は諦めるかもしれない）。

ログインアラート

もし、悪者にログインされてしまったら？少しでも早く検知して対策を施したい。
本設定はログインが行われたらログインユーザーにメールが飛ぶように出来る。

フェールワンス

アカウント/リストの組み合わせを持っている悪者はそれを使ってそれぞれ１回ずつログインを試みる。本機能は、正しいログイン情報を入力しても一度は必ず失敗するように出来る。

ピンバック無効化

去年ピンバックによるDDoS攻撃が流行った。ピンバックを利用しない場合は、本機能を使って無効化したほうが良い。

更新通知

WordPress、プラグイン、テーマのバージョンアップを知らせてくれる。セキィリティアップデートの場合も多数あるので、是非とも本機能を有効にする事をおすすめする。

WAFチューニングサポート

WebサーバーにWAF( SiteGuard Lite )が導入されている場合(ロリポップ、ヘテムルは導入済)、WordPress内での誤検知をしまうことがある。その場合、本設定で除外ルールを作成する事が出来る。

---

• 改竄速報
  • JPドメイン Web改竄速報
• プラグインの脆弱性
  • Slider-Revolution 脆弱性
  • Gravityforms 脆弱性
  • fancybox for wordpress 脆弱性