SiteGuard WP Pluginの設定方法【ログインできない場合の対処法も】

SiteGuard WP Pluginは、WordPressのセキュリティを向上させるプラグインです。
国産プラグインで、設定画面もすべて日本語です。
設計が親切で操作が直感的なので、初心者でもかんたんに使えます。

『SiteGuard WP Pluginのインストールや設定の方法は？』
『SiteGuard WP Pluginを導入してログインできなくなった！』
『SiteGuard WP Pluginって本当に必要なの？』

今回のコラム記事では、上記のような疑問を解決します。
SiteGuard WP Pluginの設定方法を項目ごとに徹底解説します。
くわえて、ログインできないときの対処法などについても紹介します。

※今回のコラム記事で掲載している情報は、記事公開時点（2022年3月25日）のものです
※ご覧いただいている時点で設定方法が異なる場合がございます

SiteGuard WP Pluginとは？本当に必要？

WordPressは、世界のWebサイトの約43%を占めています。
WordPressは使いやすく、初心者も多いことから悪意ある攻撃に狙われやすいCMSです。
とくに、管理画面やログインページからの不正アクセスにはもっとも注意が必要です。

そこで、WordPressを守るためにSiteGuard WP Plugiを導入しましょう。
SiteGuard WP Plugiとは、WordPressに導入するだけでセキュリティが向上するプラグインです。
管理ページとログインページの保護を中心とした機能を搭載し、設定画面は日本語に対応しています。

SiteGuard WP Pluginの導入と設定方法

SiteGuard WP Pluginのインストール方法と設定方法を解説します。

SiteGuard WP Pluginのインストール方法は、ほかのプラグインと変わりません。
しかし、設定項目は十数種類におよびます。
それぞれの設定項目はシンプルに作られており、日本語での解説もあるため難解ではありません。

セキュリティを向上させるため、適切に設定しましょう。

インストール

SiteGuard WP Pluginのインストールは、WordPressの管理画面から「プラグイン」→「新規追加」を開き、画面右上の検索窓に「SiteGuard WP Plugin」と入力します。
表示されたSiteGuard WP Pluginの「今すぐインストール」をクリックしてください。

インストールが完了したら「有効化」をクリックして有効化しましょう。

なお、以前にSiteGuard WP Pluginをアンインストールした場合、上記のようにインストールが失敗することがあります。

SiteGuard WP Pluginのインストールが失敗した場合は、FTPソフトでサーバーに接続し「/wp-content/plugins/」からSiteGuard WP Pluginのフォルダを削除してください。

そのあと、再度インストールを試してみましょう。

インストールして有効化すると「ログインページURLが変更されました」と表示されます。 新しいログインページのURLをブックマークしておきましょう。

ダッシュボード

WordPressの管理画面から「SiteGuard」→「ダッシュボード」で、ダッシュボードを開きましょう。

「ダッシュボード」では、現在の設定状況が一目でわかるようになっています。
以下がSiteGuard WP Pluginの設定項目です。

それぞれの設定項目は「ダッシュボード」、もしくは管理画面の左サイドバー「SiteGuard」から開けます。

• 管理ページアクセス制限
• ログインページ変更
• 画像認証
• ログイン詳細エラーメッセージの無効化
• ログインロック
• ログインアラート
• フェールワンス
• XMLRPC防御
• ユーザー名漏えい防御
• 更新通知
• WAFチューニングサポート
• 詳細設定
• ログイン履歴

管理ページアクセス制限

「管理ページアクセス制限」は、管理ページに対する攻撃をブロックします。
IPが変わったときに404エラーを返して、ログインページからログインし直すための機能です。

たとえば、スマートフォンで自宅から「IPアドレスA」で管理画面に接続していました。
移動してネットカフェからつなぎ直すと「IPアドレスB」に変化しました。
このとき、SiteGuard WP Pluginは404エラーを返してログインを要求します。

以上が「管理ページアクセス制限」の機能です。

「管理ページアクセス制限」を使う場合は、ONに切り替えて「変更を保存」をクリックしましょう。
デフォルトではOFFになっています。

ログインページ変更

「ログインページの変更」は「/wp-login.php」のURLを変更します。

WordPressのログインURLは世界共通です。
そのため、悪意ある攻撃者が最初に狙うのが、ログインページからの不正アクセスです。
ログインURLを変更することによって、不正アクセス対策になります。

「ログインページの変更」は、デフォルトでONになっています。
「変更後のログインページ名」で、ログインURLを設定しましょう。

「管理者ページからログインページへリダイレクトしない」にチェックを入れることで「/wp-admin/」からログインページへのリダイレクトを防ぎ、ログインURLがバレないようにできます。

画像認証

「画像認証」は、以下のページに画像認証を追加します。

• ログインページ
• コメントページ
• パスワード確認ページ
• ユーザー登録ページ

ひらがな、または英数字4桁による画像認証を追加し、ブルートフォース攻撃を阻止します。

「画像認証」をONにした場合、それぞれのページの画像認証で「ひらがな」「英数字」「無効」のどれかを選択しましょう。

なお「画像認証」はデフォルトでONになっており、すべてのページでひらがなが選択されています。

ログイン詳細エラーメッセージの無効化

WordPressのデフォルトではログインに失敗すると、ユーザー名とパスワードのどちらが間違っているか指摘してくれます。
この仕組みはユーザー名、パスワードを組み合わせて不正アクセスしようとする攻撃者にとって、大きなヒントです。

「ログイン詳細エラーメッセージの無効化」をONにすると、ログインに失敗したときのメッセージを共通にして、ユーザー名とパスワードのどちらが間違っていたかわからなくします。

デフォルトで「ログイン詳細エラーメッセージの無効化」は、ONになっています。
無効にする場合は、OFFに切り替えて「変更を保存」をクリックしてください。

ログインロック

「ログインロック」は、機械的なログインの試行に対してログインさせなくする機能です。
同じ接続元や連続したログインをブロックします。

「ログインロック」をONにする場合には「期間」「回数」「ロック時間」を選び、どのような条件でログインロックをかけるのか設定しましょう。

「ログインロック」は、デフォルトでONになっています。

ログインアラート

「ログインアラート」は、ユーザーがログインするとメールが送信される機能です。
ログインごとにメールが送信されるので、心当たりのないログインにすぐ気がつきます。

「ログインアラート」は、デフォルトでONになっています。
ON/OFFの切り替えのほか、メールのタイトルや本文、受信者を設定しましょう。

メールは、管理者として登録したメールアドレスに送信されます。

フェールワンス

「フェールワンス」は、リスト攻撃に対する対策です。

リスト攻撃とは、どこからか漏洩したユーザー名とパスワードによる攻撃のことです。
もしリストにあなたのアカウントが含まれていると、最初の攻撃でログインに成功してしまいます。

「フェールワンス」はユーザー名とパスワードがあっている場合でも、最初はログインに失敗する仕組みです。
一度、失敗することでリスト攻撃を回避する狙いがあります。

「フェールワンス」は、デフォルトでOFFになっています。
ONにすると、最初のログインは失敗しますので再度ログインしてください。

XMLRPC防御

「XMLRPC防御」とは、ピンバックを利用したDOS攻撃や、XML-RPCを利用したブルートフォース攻撃から防御するための仕組みです。

ピンバックとは、自分のWebサイトのURLが張られると自動的に通知する機能です。
この機能を悪用して、DOS攻撃がしかけられることがあります。
DOS攻撃とは、サーバーやWordPressに対して過剰にアクセスするサイバー攻撃のことです。

DOS攻撃をしかけられると、WordPressの表示が遅くなったり、サーバーがダウンしたりすることもあります。

「XMLRPC防御」は、デフォルトでONになっています。 設定はデフォルトのままがおすすめです。

ユーザー名漏えい防御

「ユーザー名漏えい防御」では、ユーザー名の漏洩を防御します。

WordPressにおけるURLのクエリパラメータでは、ユーザー名のやりとりが行われています。
クエリパラメータとは、URLの末尾につく「?author=英数字」などの文字列のことです。

クエリパラメータからユーザー名が推測できた場合、攻撃者はパスワードの解析に専念できます。
このような状況にあわないためにも「ユーザー名漏えい防御」で対策することが必要です。

「ユーザー名漏えい防御」は、デフォルトでOFFになっています。
ONにする場合、設定はデフォルトのままで問題ありません。

更新通知

「更新通知」はWordPressの本体、プラグイン、テーマに更新がある場合にメールでお知らせする機能です。

WordPressへの不正アクセスの多くは、古いバージョンを対象にしています。
そのため、常に最新のバージョンに更新することが求められます。

「更新通知」は、デフォルトでONになっています。
どのような状況で更新通知を送るのか設定しましょう。

WAFチューニングサポート

「WAFチューニングサポート」は、WebサーバーにJP-Secure製のWAF SiteGuard Server Editionが導入されている場合に使う機能です。
正常なアクセスがWAFによって遮断されてしまうことを、回避するルールを設定できます。

「WAFチューニングサポート」を使用する場合は機能をONにして、除外ルールの登録や編集、削除を行ってください。
デフォルトで「WAFチューニングサポート」は、OFFになっています。

詳細設定

「詳細設定」では、IPアドレスの取得方法を変更します。
通常はリモートアドレスを選択しましょう。
しかし、Webサーバーの前にプロキシサーバーが設置してあったり、ロードバランサーがあったりする場合は「X-Forwarded-For」からIPアドレスを取得します。

レベルは、X-Forwarded-Forの値の右端から何番目なのかを設定する項目です。

一般的なWebサーバーでは、デフォルトの「リモートアドレス」に設定しておきましょう。

ログイン履歴

「ログイン履歴」では、ユーザーがWordPressにログインした履歴を参照できます。
ログインの状況を「日時」「結果」「ログイン名」「IPアドレス」「タイプ」の5項目で表示します。

ログインの結果は「成功」「失敗」「ロック」「フェールワンス」の4種類です。

タイプには「ログインページ」「XMLRPC」の2種類があります。
通常のログインなのか、XMLRPC経由なのかを判別できます。

「日時」「結果」「ログイン名」「IPアドレス」「タイプ」の5項目で絞り込み検索を行うことも可能です。

ログイン履歴で、不正なログインがないかしっかりと確認しましょう。

SiteGuard WP Pluginでログインできない原因と対処法

SiteGuard WP Pluginを導入したあと、WordPressの管理画面にログインできなくなった場合の原因と対処法について解説します。
原因を突き止めて、慌てずに対処してください。

ログインURLが変更されている

SiteGuard WP Pluginでログインできない原因の多くは、ログインURLを忘れることが原因です。

ログインURLを確認する方法は「メール」「.htaccess」の2種類があります。
また、SiteGuard WP Pluginを無効化することでログインURLはもとに戻ります。

ログインURLがわからなくても、慌てずに以下で解説する方法を試してみてください。

メールを確認

SiteGuard WP Pluginを有効化すると、ログインページのURLが変わります。 ログインURLが変更になったとき、SiteGuard WP Pluginは管理者宛にメールを送信します。 変更されたログインURLが記載されたメールが届きますので、そのメールを参照しましょう。

.htaccessを確認

.htaccessを確認すれば、変更されたログインURLがわかります。

.htaccessとは、Webサーバーの基本動作をディレクトリ単位で制御するファイルです。
SiteGuard WP Pluginは、.htaccessを使ってログインURLを変更しています。
そのため、.htaccessを開けばログインURLがわかります。

まず、FTPソフトでサーバーに接続し、ドメイン直下にある.htaccessファイルをダウンロードしてください。

ダウンロードしたら、テキストエディタで開きましょう。

すると、上記のようなコードが書いてあります。
今回の場合だと「https://ドメイン名/login_87934」がログインURLとなります。

プラグインを無効化

SiteGuard WP Pluginを無効化すると、ログインURLはもとに戻ります。
もとに戻ったログインURLは「https://ドメイン名/wp-login.php」です。

再度、SiteGuard WP Pluginを有効化すると、前回とは異なるログインURLになりますので注意しましょう。

フェールワンスを有効化

フェールワンス機能を有効化している場合、ユーザー名とパスワードがあっていても最初のログインは必ず失敗します。

フェールワンス機能はリスト攻撃を防御するため、最初のログインでエラーを返す機能です。
リスト攻撃とは漏洩したユーザー名とパスワードをもとに、不正アクセスをしかけてくる攻撃です。
そのため、ログインに成功しても、一度エラーを返すことで防御できます。

フェールワンス機能を有効化していれば、最初のログインは失敗します。
再度、時間を置かないでログインしてください。

まとめ

WordPressのプラグイン「SiteGuard WP Plugin」を解説しました。

WordPressは、世界のWebサイトの約43%を占めます。
ユーザーには初心者も多いため、悪意ある第三者の攻撃対象として選ばれがちです。

WordPressをセキュアに運用するためには、SiteGuard WP Pluginを導入しましょう。

SiteGuard WP Pluginは導入するだけでセキュリティが向上し、不正アクセスを防げます。
管理ページやログインページを主としたセキュリティで、WordPressをしっかりと守りましょう。

SiteGuard WP Pluginは国産プラグインで、設定画面もすべて日本語です。
ひとつひとつの設定はシンプルで、解説もあるため初心者でもかんたんに使いこなせます。

SiteGuard WP Pluginを導入して、WordPressのセキュリティ向上を目指しましょう。