【WordPress】セキュリティ対策は大丈夫ですか？XMLRPC機能無効のすすめ「SiteGuard」

WordPressサイトのセキュリティ対策は出来ているでしょうか？自分には関係ないと甘く考えていると、ある日突然、ホームページが正常に表示されない、WordPressの管理画面にログインできない、なんてことになるかもしれません…。

上記のリストは、こちらの管理するサイトのWordPress管理画面のログイン履歴になります。

身に覚えのないログイン履歴は大量に残っています。同じ日のある時間帯に集中して何度もログインが試みられましたが、幸い全てロックされ失敗に終わっています。

そしてタイプは、「XMLRPC」になっております。

「XML-RPC機能」とは、スマートフォンアプリでのWordPress管理や一部のプラグインで使用されている外部からWordPressに接続操作するための機能になります。

セキュリティリスクを考えると、それほど必要な機能ではありませんので、無効にしておく事をお勧めします。

Contents

セキュリティ対策プラグイン「SiteGuard WP Plugin」で防御しよう

セキュリティ対策のためのプラグイン「SiteGuard WP Plugin」を入れれば、「XML-RPC機能」の無効化をはじめ、様々なセキュリティ対策を行うことができます。

「プラグイン」＞「新規追加」から「SiteGuard」と入力して、以下のプラグイン「SiteGuard WP Plugin」をインストール、有効化してください。

「SiteGuard WP Plugin」をインストール・有効化するだけで、初期状態でいろいろな機能が有効化されますので、それだけでかなりセキュリティが強化されます。

初期状態で有効化される機能は以下になります。

通常のワードプレスの管理画面にログインするためのページ「https://サイトURL/wp-login.php」のアドレスを変更することによって、不正ログインを受けるリスクを少なくします。

ただし、初期状態では「https://サイトURL/wp-admin」にアクセスすると普通にログイン画面になりますが、こちらも設定でアクセスできないようにすることができます。

ワードプレスの管理画面にログインするときにユーザー名、パスワードの他に画像認証の入力を要求します。さらにコメントページにも追加されますので、コメントスパムの対策にもなります。

標準では、ひらがな４文字の入力を要求されますので、自動化されたボットによる不正ログインの攻撃や海外からのログインに対する対策になります。

こちらはログイン時にユーザー名やパスワードが間違えていた時に表示されるエラーメッセージをすべて同じにする機能です。

ワードプレスのログインページの標準状態では、ログイン時にユーザー名が間違っていたらユーザー名が違います、パスワードが間違っていたらパスワードが違います、という風にエラーメッセージが表示されます。これらのメッセージを同じにすることで、ユーザー名やパスワードを推測されることを防ぎます。

こちらは、短時間に集中して不正ログインを試みるボットによる攻撃を防ぐための対策です。

標準機能では、期間：5秒、回数：3回、ロック時間：1分になっており、5秒間に3回以上ログインが試みられた時に1分ロックされることになります。

こちらはワードプレスにログインされたときに管理者のメールアドレスに「ログインがありました」というメールが送られてくる機能になります。

これによって、心当たりのないログインがあったときに不正ログインに気づくことができます。

初期状態では、「ピンバック無効化」にチェックが入っており、リンク元がリンク先に通知する機能が無効化されるようになっております。

こちらを「XMLRPC無効化」にチェックを変えることで、前述の「XML-RPC機能」を悪用した不正ログインを無効化し防御することができます。

こちらはワードプレス本体や使用中のプラグインやテーマが更新が必要になったときに通知が来る機能です。ワードプレス本体やプラグインの脆弱性を突いた攻撃を防ぐためにも、これらを最新の状態に保つことが大事になってきます。

「SiteGuard WP Plugin」では、上記の標準機能以外にも設定を変えることによってさらにセキュリティを強化することが出来ます。

大切なホームページを守るためにワードプレスのセキュリティ対策は重要になっており、今回ご紹介した「SiteGuard WP Plugin」を使ったセキュリティ対策以外にも、レンタルサーバー側で設定できるセキュリティ対策もあったりしますので、そちらも活用されるといいと思います。