WAF除外ルールも作れるWordPressセキュリティプラグイン「SiteGuard WP Plugin」

普及率が高いぶんクラッカーから狙われやすいWordPress。セキュリティを高めて自衛しておきたいところですが、そんなセキュリティを高めるのにかなり良さげなプラグインがリリースされました。その名も「SiteGuard WP Plugin」。
WAF製品を提供しているJP-Secure社がリリースしたプラグインで、セキュリティ向上のための機能を複数持っています。

SiteGuard WP Plugin

「SiteGuard WP Plugin」の持つ機能

「SiteGuard WP Plugin」は以下の機能を有しています。

  1. 管理ページアクセス制限
  2. ログインページ変更
  3. 画像認証
  4. ログイン詳細エラーメッセージ無効化
  5. ログインロック
  6. フェールワンス
  7. ピンバック無効化
  8. WAFチューニングサポート

1〜7までの機能は類似プラグインや、他の単一プラグインなどで導入することもできますが、8のWAFチューニングサポートはこのプラグインならではの機能だと言えます。

プラグインのインストール

プラグインは公式ディレクトリに登録されているので、他のプラグイン同様にプラグインの新規追加からプラグイン名で検索してインストールします。

有効化するとダッシュボードのサイドバーに新しく[SiteGuard]という項目が加わります。各機能の有効化/無効化や詳細設定はここから行います。

管理ページアクセス制限

管理ページアクセス制限

この機能が有効になると非ログインIPアドレスから/wp-admin/以下のファイルにアクセスしようとすると、軒並み404エラーを返すようになります。
有効化するためには、mod_rewriteがサーバーにロードされていなければなりませんが、だいたいのサーバーは問題ないはず。

/wp-admin/以下でアクセス制限から除外する場合は、除外パスにディレクトリ名やファイル名を記述して[変更を保存]すればOK。

ログインページ変更

ログインページ変更

有効化の条件は、先ほどのアクセス制限と同じですが、有効化することでデフォルトのログインページであるwp-login.phpの名称が変更されます。

この機能のデフォルトだとlogin_xxxxx.phpという感じで5桁の乱数が自動的に振られるようになっていますが、任意の名前に変更することも可能です。

WordPressを狙ってリスト攻撃や機械的にアタックをしてくる場合、ほぼwp-login.phpに対してアクセスしてこようとするので、地味ながら結構有効な防衛策じゃないでしょうか。

画像認証

画像認証

有効化するとログインページ、コメント、パスワード確認、ユーザー登録を行う際のフォームに画像認証(CAPTCHA)を追加します。

それぞれ個別に機能を無効にすることができるほか、画像認証にはオーソドックスな英数字以外にひらがなを用いることもできます。

ログイン詳細エラーメッセージの無効化

ログイン詳細エラーメッセージの無効化

この機能については特にこれといった設定はなく、単純に機能の有効・無効を指定するだけです。
有効化することで、ログイン画面でログインに失敗した時のエラーメッセージを変更することができます。

通常だと、ユーザー名を間違えれば「ユーザー名が違います」とか、パスワードを間違えれば「パスワードが違います」といった感じで、どの項目が違うのかをメッセージとして表示しますが、この機能を有効化することで、どの項目が間違っているのかをわかりにくくするために、すべて同じエラーメッセージを表示するようになります。

ログインロック

ログインロック

指定した時間・回数でログインに失敗すると、一定時間接続元のIPアドレスをブロックする機能。
Login LockDown」といったプラグインと同様の機能ですね。海外からの不正アクセスを防ぐにはそれなりに有効な手段だと言えます。

フェールワンス

フェールワンス

ちょっと他の類似プラグインには見られない機能ですが、「フェールワンス」を有効化すると、ログイン時に正しいユーザー名、パスワードを入力しても1回だけ必ずログインを失敗するようになります。

ログインするには、失敗から5秒以降60秒以内に再度ログインし直せばOK。
仮にブルートフォースアタックなどで、ユーザーIDとパスワードが正解だったとしても、この機能を有効にしておくことで不正なログインを未然に防ぐことが可能になります。

ピンバック無効化

ピンバック無効化

WordPress 3.5以降からデフォルトで有効となっているピンバック機能。
ピンバックはWordPressサイト同士でのみ通用するトラックバックの一種ですが、最近はこのピンバックを悪用したDDoS攻撃が増えており、セキュリティを考えて無効化するのがいいんでないか? という流れ。

個人的には別の手段でピンバックの対策をしているので、個人的にこの項目は無効化しています。

WAFチューニングサポート

WAFチューニングサポート

さて、出ました。このプラグインの真骨頂とも言える機能です。
プラグイン開発提供元であるJP-Secure社のWAF製品「SiteGuard Lite」がサーバーに導入されている場合に、とても役立つ機能だと言えます。

WAFとはウェブアプリケーションファイアウォールのことで、不正な攻撃からサイトを守るための機能です。
ただ、稀に正常なアクセスにも関わらずブロックされるケースというのがあり、そうした場合にブロックを回避するためのルールを作成できるわけですね。

さくらインターネットやロリポップ、ヘテムルあたりで導入されているWAFは、この「SiteGuard Lite」が採用されているので、上述のサーバーを利用しているユーザーには、ぜひ導入と有効化をオススメしたいところ。

個人的にはかなりグッと来るセキュリティプラグインですね。
WAFを有効化していると、時折思わぬブロックを食らうことがあるので、それを回避できるようになるのはとてもありがたいです。

「MarsEdit」や「するぷろ」といったxmlrpc.phpを使う外部ブログエディタはWAFで使えなくなるといったケースもあるので、サーバーに「SiteGuard Lite」でWAFが導入されているようであれば、このプラグインで除外できるようにしておくといいかもしれません。

wordpress.org

「WordPressプラグイン」新着記事

「Site Kit」 Googleが各種レポートを統合して閲覧できる、WordPressプラグインの開発ベータ版を公開

ホシナ カズキ

カスタムブロックを追加するなら「Block Lab」プラグインを導入すると幸せかもしれない

ホシナ カズキ

【2016年版】モバデビで絶賛稼働中のWordPressプラグイン

ホシナ カズキ

「SNS Count Cache」v0.10.0におけるFacebook取得の不具合を解決する

ホシナ カズキ

「SNS Count Cache」のFacebookカウント数取得できない問題を暫定的に解決した

ホシナ カズキ
もっと見る

モバデビはモバイルやウェブのネタ、ニュースMaciPhoneなどのApple関連、WordPressのことなど、いろいろ書く雑食系ブログメディア。
ためになるかもしれないし、ならないかもしれない。そこそこ更新してますそこそこ。

このブログについてもっと詳しく