SiteGuard WP Pluginを使ってみる

WordPressの不正ログインや不正アクセスを防ぐプラグイン「SiteGuard WP Plugin」を使ってみます。

インストール

管理画面でプラグイン > 新規追加 を選択して、右上の検索ボックスから「SiteGuard WP Plugin」を検索します。
一覧に表示される「SiteGuard WP Plugin」からインストールと有効化を行います。

有効化が完了すると、以下のようにログインURLが変更されます。
変更後のURLは「login_XXXXX」の形で、XXXXX部分は5桁の乱数になります。

変更後のURLを忘れるとログインできなくなってしまうので、ブックマークなどしておくようにしてください。

使い方

左ナビのSiteGuardを選択します。

以下のような機能が用意されています。

• 管理ページアクセス制限
• ログインページ変更
• 画像認証
• ログイン詳細エラーメッセージの無効化
• ログインロック
• ログインアラート
• フェールワンス
• XMLRPC防御
• 更新通知
• WAFチューニングサポート

初期状態では「管理ページアクセス制限・フェールワンス・WAFチューニングサポート」以外がオンになっている状態で、初期状態のままでもセキュリティ対策としては問題なさそうです。
各項目の説明は公式サイトにあるので、ここでは個人的に使う上で設定を変えそうな項目をいくつかみてみます。

管理ページアクセス制限

管理ページアクセス制限は、24時間以内にログインしていない接続元からの管理ページ(/wp-admin/)へのアクセスに対して404を返す機能です。
デフォルトだとオフになっているので、オンに設定します。

ログインページ変更

ログインページ変更は、ログインURLを「/wp-login.php」から変更する機能です。
デフォルトだと前述の通り「login_XXXXX」の形ですが、任意の形に変更できます。

また、オプションにある「管理者ページからログインページへリダイレクトしない」にチェックを入れることで、管理ページ(/wp-admin/)に直接アクセスしてもログインページにリダイレクトしなくなるため、チェックを入れておきます。

ログインURLを忘れた場合

ログインURLを忘れてしまった場合、WordPressをインストールしたディレクトリ内の.htaccessにある以下の記述を確認します。

RewriteRule ^login_XXXXX(.*)$ wp-login.php$1 [L]

「login_XXXXX」の部分がログインURLになります。