「SiteGuard WP Plugin」はWordPressの管理画面・ログイン画面を保護するための無料プラグインです。この記事ではSiteGuard WP Pluginの使い方と、手違いでログインできなくなった場合(URLを忘れた場合)の解決方法を解説しています。
目次
SiteGuard WP Pluginとは?
WordPressの管理画面やログイン画面は、悪意ある第三者から攻撃を受けてしまうことがあります。仮に攻撃によって管理画面からログインされてしまった場合、サイトの改ざんや個人情報の不正取得などの被害にみまわれることがあります。
そこでセキュリティの対策が必要になるわけですが、SiteGuard WP Pluginを使えばWordPressの管理画面・ログイン画面を簡単に保護することが可能です。SiteGuard WP Pluginは無料なので、利用にあたって一切費用はかかりません。WordPressにインストールするだけで簡単に使うことができます。管理画面・ログイン画面のセキュリティを守るために1つだけでなく複数の対策ができることも、このプラグインを利用するメリットです。
なおWordPressへたくさんのプラグインをインストールし過ぎることで重くなることはありますが、SiteGuard WP Pluginのみで重くなるということはありませんので安心してください。仮にプラグイン導入でお使いのWordPressが重くなっているとしたら、他のプラグインに原因を求めた方がよいでしょう。
設定の流れ~インストールから有効化まで~
ここでは、SiteGuard WP Pluginを使う方法と、主要な機能を簡単に解説します。まずプラグインをインストールして有効化するまでの手順は、以下の通りです。
- WordPress管理画面にログイン
- 管理画面のサイドバーより「プラグイン」をクリック
- 「新規追加」をクリック
- 「プラグインの検索」欄に「SiteGuard WP Plugin」と入力
- 検索結果に「SiteGuard WP Plugin」が表示される。「SiteGuard WP Plugin」欄の「今すぐインストール」をクリック
- インストール完了後、新しく表示された「有効化」ボタンをクリック
これによって、SiteGuard WP Pluginのいくつかの機能が有効となります。なかでも特に注意が必要なのは、プラグインの機能によって管理画面のログインURLが、以下のように変更される点です。
- 前) http://お使いのドメイン/wp-login.php/
- 後) http:// お使いのドメイン/login_**/
※「**」にはランダムな数字(乱数)が入る
URLを忘れてしまうと、管理画面へアクセスできなくなってしまいます。
そのため表示された警告メッセージに従い「新しいログイン画面URL」をクリックし、管理画面のログイン画面を表示させてください。アドレス欄を見ると管理画面のURLが変わっていることが分かります。新しいURLの管理画面は、ブラウザのブックマークに登録しておくなどの対策をしましょう。
以下、SiteGuard WP Pluginの主要な機能の概要と使い方を簡単に解説します。
①管理画面のアクセス制限をする
初期設定では、WordPressの管理画面のURLは「http://ドメイン名/wp-admin」となります。しかし「管理画面のアクセス制限」を使うことにより、新しくなったログインURLでログインしていない接続元のIPアドレスから、「http://ドメイン名/wp-admin」へアクセスがあった場合に、管理画面へアクセスできないようになります。
新しいログインURLでログインをすると、24時間の間は、wp-admin経由でも管理画面へのアクセスが可能です。24時間経過すると、改めて新しいログインURLからのログインが必要となります。
この機能は、初期設定では「OFF」です。有効にするには、SiteGuard WP Pluginインストール後、以下の設定を行います。
- 管理画面へログイン
- サイドバーから「SiteGuard」をクリック
- 設定状況から「管理画面アクセス制限」をクリック
- 「管理画面アクセス制限」設定画面が表示されたら「ON」をクリック
②ログインURLを変更する
WordPress管理画面のログインURLを変更する機能です。上述した通り、SiteGuard WP Pluginをインストールした時点で自動的にURLが変更されていますが、このページで設定することによってURLを任意の文字列へ再変更することもできます。設定方法は以下の通りです。
- 管理画面へログイン
- サイドバーから「SiteGuard」をクリック
- 設定状況から「ログイン画面変更」をクリック
- 「ログイン画面変更」設定画面が表示されたら「変更後のログイン画面名」に任意の文字列を入力
- 「変更を保存」をクリック
なお、ログイン画面を初期設定の「wp-login.php」
③画像認証機能の設定
画像認証とは管理画面へログインしたりコメントを投稿したりする際に、画像に表示された文字列を入力することを必須とする機能です。WordPress管理画面への攻撃は、ボットと呼ばれる自動ブログラムによって行われることが多くなっています。
ボットは画像の文字列を判別できないため、画像認証による対策は有効です。また画像の文字列を日本語にすることによって、海外の攻撃者に攻撃させづらくする効果もあります。
なおSiteGuard WP Pluginを有効化した時点で画像認証も有効になっていますが、あとから設定を変えることもできます。設定方法は以下の通りです。
- 管理画面へログイン
- サイドバーから「SiteGuard」をクリック
- 設定状況から「画像認証」をクリック
これで「画像認証」の設定画面が表示されます。「ログイン画面」「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」それぞれで以下3つの選択肢が用意されています。
- ひらがな:画像認証を有効にする。画像認証に「ひらがな」を用いる。
- 英数字:画像認証を有効にする。画像認証に「英数字」を用いる。
- 無効:画像認証を使わない。
初期設定では、全て「ひらがな」が選ばれています。「ひらがな」であれば海外からの攻撃もより防ぎやすくなるので、基本的にはこのままでよいでしょう。設定を変更したい場合には、希望の選択肢を選び最後に「変更を保存」をクリックします。
④不正ログイン履歴を見る
ログインが行われた記録を見ることができる機能です。以下の手順で、この機能へアクセスできます。
- 管理画面へログイン
- サイドバーから「SiteGuard」をクリック
- 設定状況から「ログイン履歴」をクリック
ログイン履歴には、ログインが実施された記録について以下の情報が掲載されています。
- 日時:ログインを試みた日時
- 結果:ログインに成功したか失敗したか
- ログイン名:ログインに使われたアカウント名
- IPアドレス:ログインを試みた接続元のIPアドレス
- タイプ:アクセス先のページ。※WordPressログイン画面なら、タイプは「ログイン画面」
例えば不正なアクセスが行われようとして失敗した場合には、「結果」に失敗と表示されます。一方、管理者が管理画面へログインした場合には、結果に「成功」と表示されます。
万が一、結果に「成功」とあるログインに関して覚えがない場合、表示されているIPアドレスからの不正な攻撃に成功してしまっている可能性があります。その場合は、パスワードを変更する、改ざんが行われた形跡がないか確認するなどの対応をしてください。
SiteGuard WP Plugin導入時の注意事項
SiteGuard WP Pluginを有効にしたあと、WordPressの管理画面へアクセスできなくなったという声を聞くことがあります。その場合は、以下の2つのいずれかの原因が考えられます。
- http://お使いのドメイン/wp-login.php/にアクセスできない
- http://お使いのドメイン/wp-admin.php/にアクセスできない
まず「1」について、wp-login.phpとは初期状態のWordPressのログインURLです。繰り返しになりますが、SiteGuard WP Plugin有効化によってこのログインURLが変更されているため、仮にアクセスしようとすると「ページが見つからない」旨のエラー表示がされるわけです。
次に「2」の状況について解説します。通常、wp-admin.phpのURLへアクセスすると、ログインがすんでいる状態であればそのまま管理画面へ、ログインされていない状態であればログイン画面へ遷移します。
これらの最も簡単な解決策は、ブックマークしておいた変更後のログインURLへアクセスすることです。変更後のログインURLからログインを実施することで、上記問題を両方解決できます。
ログインURLを忘れてしまった場合は?
一番困るのは、SiteGuard WP Pluginを有効化して変更されたログインURLが、ブックマークしていないなどの理由で分からなくなってしまったパターンです。ログインURLが分からなければ、管理画面へアクセスすることができません。
この場合はFTPでWordPressがインストールされたディレクトリにアクセスし、「.htaccess」ファイルを見ることによってログインURLを確認することが可能です。「.htaccess」とは、ウェブサーバーをディレクトリという単位で制御するためのファイルで、SiteGuard WP PluginでログインURLを変更した場合、このファイルに変更後のURLが書き込まれています。「. htaccess」はメモ帳などのテキストエディタで開くことが可能です。
「.htaccess」には以下のような文字列があります。
RewriteRule ^login_12345(.*)$ wp-login.php$1 [L]
この場合、wp-login.phpの左にある「login_12345」が、SiteGuard WP Pluginによって変更されたログインURLになります。※数字部分がランダムです。
まとめ
SiteGuard WP Pluginは、WordPressの管理画面・ログイン画面のセキュリティを高めるために有効なプラグインです。料金がかからない上に、設定も難しくありません。
ですが紹介したように有効した途端にログインURLが変更されるので、ブックマークなどに残しておかないと,
管理画面へアクセスできなくなってしまいます。SiteGuard WP Pluginを使う際はこの点を覚えておき、有効後は必ず変更後のログイン画面をブックマークするなどして忘れないようにしましょう。
WordPressの本体、プラグイン、テーマの脆弱性を診断し、レポートをお届けします。1回だけのスポット診断か、月1回定期診断(年更新)のどちらかを選択いただけます。詳しくはこちら。
