初心者きつねWordPressをインストールする時に最初から付いていることがある「CloudSecure WP Security」って、どういうプラグインなの?
今回は、セキュリティ対策プラグインの1つである「CloudSecure WP Security」についてご紹介していきます。
WordPressをインストールする時にチェックをつけていると最初から導入されることがありますが、インストールだけして使用したことがない方も多いのではないでしょうか?
実はこのプラグイン、比較的簡単にセキュリティ対策ができるので
プログラミングに疎い人やWebサイトについての知識があまりない方でも使いやすい仕様になっています。
わいまた、このブログでは過去には「SiteGuard WP Plugin」というセキュリティ対策プラグインも紹介していますが、そちらとの比較も紹介していくよ!
「CloudSecure WP Security」とは?
「CloudSecure WP Security」は、Xサーバーの関連会社が開発したWordPressセキュリティ対策用プラグインです。
無料で使用することができ、ログインURLを変更したりXML-RPCの無効化などをすることで
不正ログインやサイバー攻撃から守ってくれます。
初心者きつねXサーバーの関連会社が開発しているんだね!
WordPressインストール時に最初から付属していることがあるのにも
納得!
わいWordPressは世界でトップクラスのシェア率を誇っている故にクラッカーにも狙われやすいから、セキュリティ対策ソフトの導入は必須だね!
「CloudSecure WP Security」の使い方
①「CloudSecure WP Security」をインストール・有効化
まずは、プラグインメニューから「プラグインの追加」を選択しましょう。
そして検索ボックスに「CloudSecure WP Security」と打ち込み、下の画像のようなプラグインをインストール・有効化しましょう。
(WordPress簡単インストールをする段階で、このプラグインを導入するチェックをつけている人は既にインストールされていると思います。
無効化されている場合は、有効化処理を行いましょう。)
②管理画面メニューから設定
有効化したら、管理画面メニューに下のような表示が出ているはずです。
ここにカーソルを当てると、サブメニューが出てくるので
そこから各設定を行っていきましょう!
「CloudSecure WP Security」で行えるセキュリティ対策
CloudSecure WP Securityで行えるセキュリティ対策は、以下のものがあります。
- ログイン無効化
- ログインURL変更
- ログインエラーメッセージ統一
- 2段階認証
- 画像認証追加
- 管理画面アクセス制限
- 設定ファイルアクセス防止
- ユーザー名漏洩防止
- XML-RPC無効化
- REST API 無効化
- シンプルWAF
ちなみに、通知に関するものも3つあります。
- ログイン通知
- アップデート通知
- サーバーエラー通知
セキュリティ機能
ログインURLを変更したり、画像認証の追加など
サイバー攻撃や不正ログインなどを防ぐ対策を行うことができます。
ログイン無効化
ログイン無効化は、指定した期間内にログイン失敗回数が指定した回数に達した場合、指定した時間ログインをブロックする設定です。
有効に切り替えて変更を保存すると
- ログインが失敗した際、何秒間で再ログインできるようになるか
- 何回ログインに失敗したら無効化されるか
- ログインの無効化時間は何秒にするか
が適用されます。
それぞれを何秒にするかは、人によって違うかもしれませんが
迷う人は上の画像のような設定でいいかと思います。
ログインURL変更
ログインURL変更は、その名の通りログインURLを変更する処理を行えます。
変更後のログインURLは自動で生成されますが、自分の好きな文字列に変更することもできます(上の画像の場合ドメイン部分も隠していますが、xaから始まる文字列が自動で生成された部分です)。
ただし、自分で変更する場合は特定されにくい文字列にしてください。
「wordpress」などだと特定されやすく、ログインURLに簡単にアクセスされてしまう可能性があります。
また、「管理者ページからログインページにリダイレクトしない」にチェックを入れておきましょう。
この項目にチェックを入れることで、「http(s)://ドメイン名/wp-admin」にアクセスをされてもTOP画面にリダイレクトされるように設定できます。
※変更後のログインURLはどこかにメモをするなどして、忘れないようにしましょう。忘れてしまうとログインができなくなってしまいます。
ログインエラーメッセージ統一
ログインに失敗した際に
- ユーザー名が違います
- パスワードが違います
- 画像認証の値が違います
などのエラーが出てしまうと、不正ログインを試みようとしたユーザがいた際に
ユーザー名やパスワード、画像認証の値だけが違う(その他は合っている)というヒントを与えてしまうことになります。
なので、どの値が間違っていてもエラーメッセージの表示を統一することでヒントを与えないようにする対策方法です。
設定方法は簡単で、「有効」に切り替えて変更を保存するだけ。
2段階認証
2段階認証機能を利用するには、CloudSecure WP Security側でセットアップキーというものを作成し
Google Authenticatorというアプリケーションで生成されるQRコードを読み込む必要があります。
そして、WordPressのログイン画面で6桁の認証コードを入力しないとログインできない設定にすることができます。
2段階認証を導入することでセキュリティ強化ができるので、導入することをお勧めします。
画像認証追加
「CloudSecure WP Security」では画像認証機能を追加することもできます。
画像認証の追加は
- ログインフォーム
- コメントフォーム
- パスワードリセットフォーム
- ユーザー登録フォーム
の4つのフォームで行うことができます。
追加したいフォームを「有効」に変更してから、変更を保存します。
いわゆる総当たり攻撃とも呼ばれるブルーフォースアタックなんかは、安易なパスワードを入力したり
プログラムを利用して順番に文字列を試したりしますが
画像認証もつけることによって、より不正ログインをされにくくなります。
それだけでなく、アンチコメントもきにくくなるので実装をお勧めします。
管理画面アクセス制限
管理画面にログインしていない接続元IPアドレスから管理ページ(/wp-admin/以降)にアクセスすると、404エラー(Not Found)を返します。
今まで管理画面にログインしたことがない、悪意のある第三者をログインページにアクセスさせたくない場合は有効にしておきましょう。
ただし、既にログインしたことがあるアカウントでもログアウト時間が24時間続いたり
普段は会社でサイト更新をしているが、カフェや出張先のホテルのWi-Fiを利用してIPアドレスが変わった場合などは、再ログインする必要があるので注意が必要です。
設定ファイルアクセス防止
wp-config.phpや.htaccessなどの設定ファイルにアクセスを検知した場合、403エラー(Foribidden)を返す設定です。
これらのファイルはブラウザから直接アクセスされることを想定しておらず、有効にすることでファイルの内容が外部に漏洩することを防ぐ効果があります。
ユーザー名漏洩防止
ユーザー名漏洩防止では、「?author=数字」でのアクセスによるユーザー名の漏えいを防止します。
実は、WordPressでは「https://ドメイン名/?author=〇〇」からユーザー名が割れてしまうことがあり、そうなってしまうと
あとはパスワードさえ分かってしまうと管理画面にログインできてしまいます。
「ユーザー名漏洩防止」はCloudSecure WP Securityをインストールし有効化したデフォルトの段階で有効化されていますが、もし無効化してしまった人がいたら有効化に戻しておきましょう。
XML-RPC無効化
XML-RPCとは、WordPressを外部から操作するための仕組みのことですが、遠隔操作の仕組みを利用したサイバー攻撃の標的になってしまう可能性があります。
そのため、XML-RPCを無効化することでそのような攻撃を受けずに済みます。
無効にしている人は有効に切り替え、「XML-RPC無効」を選択して保存しましょう。
REST API 無効化
REST APIの悪用を防ぐため、その機能自体を無効化します。
REST APIを利用すればWordPressの管理画面から直接操作をしなくても投稿や更新を行えますが、セキュリティ的にあまり良いとは言えません。
なので、セキュリティを強化したい場合は、REST APIを無効化しましょう。
ただし、REST APIの無効を有効化してしまうと、REST APIを利用しているプラグインが使えなくなる可能性があるので
そういったプラグインは「除外プラグイン」欄に追加する必要があります。
※仮に設定後にサイトに不具合が発生した場合は、REST APIの無効化を解除するようにしてください。
シンプルWAF
シンプルWAFでは、WordPressへの基本的な攻撃を検知すると403エラー(Foribidden)を返して検知履歴を記録し、管理者にメールで通知する機能です。
代表的なサイバー攻撃であるクロスサイトスクリプティングやSQLインジェクションなど、5つの攻撃を防ぐことを目的としています。
メール通知を「通知する」にし、5つのサイバー攻撃欄にチェック入れて保存すればOKです。
通知機能
続いて、通知機能について解説します。
ログイン通知
ログインがあった際に、管理メールアドレスに通知を送ります。
自分がログインした直後に通知が来た場合は問題ありませんが、ログインした覚えがないのに通知が来た場合には
ユーザー名やパスワードなどの迅速な変更が必要です。
アップデート通知
WordPressやプラグイン、テーマの更新が必要になった際に通知を送る設定ができます。
これらの更新は、脆弱性をできるだけなくし不正ログインやサイバー攻撃などを防ぐために重要ですので有効化しておきましょう。
サーバーエラー通知
「HTTPステータスコード500(Internal Server Error)」のサーバーエラーが発生した際に、管理者に通知を送るとともに、エラーを記録します。
SiteGuard WP Pluginとの比較
CloudSecure WP SecurityとSiteGuard WP Pluginを比較した結果は、下のようになります。
| 機能 | CloudSecure WP Security | SiteGuard WP Plugin |
|---|---|---|
| ログイン無効化 | ◯ | ◯ |
| ログインURL変更 | ◯ | ◯ |
| ログインエラーメッセージ統一 | ◯ | ◯ |
| 2段階認証 | ◯ | × |
| 画像認証追加 | ◯ | ◯ |
| 管理画面アクセス制限 | ◯ | ◯ |
| 設定ファイルアクセス防止 | ◯ | × |
| ユーザー名漏洩防止 | ◯ | ◯ |
| XML-RPC無効化 | ◯ | ◯ |
| REST API 無効化 | ◯ | × |
| シンプルWAF | ◯ | △(防げない攻撃あり) |
こうしてみると、CloudSecure WP Securityの方が、SiteGuard WP Pluginに比べて若干ではありますが機能が豊富であることが伺えます。
CloudSecure WP Securityは、SiteGuard WP Pluginにはない(カバーしていない)WAF機能やファイル編集制限などを備えていますので、サイト全体を広く守りたい場合に使用すると良いでしょう。
一方、SiteGuard WP PluginはログインURLの変更や画像認証など、主にログイン機能に関するセキュリティを強化したい場合に向いており、シンプルで導入しやすいことも特徴です。
最後に
というわけで、今回はセキュリティ対策プラグイン「CloudSecure WP Security」についてご紹介しました!
WordPressサイトを利用していくなら、セキュリティ対策は切っても切り離せないので
この記事を読み返し、セキュリティに強いサイトに仕上げるようにしてください!
どうしても分からない場合は、セキュリティに強いWeb制作会社やフリーランスに頼るのも手ですよ!
このブログでは、Web制作に関する話題やコーディング、WordPressなどに役立つ情報を発信しているので
次回の記事もぜひ見てくださいね。
わい記事をSNSで拡散すると、有益な投稿をするアカウントだと思われ
フォロー数やいいね数が増えるかもしれないよ!
\ 最新情報をチェック /
コメント