WordPressの管理画面とログインURLへのサイバー攻撃に対するセキュリティレベルを向上するプラグインです。日本にあるクラウドセキュア株式会社が無料で提供しており、国産・日本語対応で使いやすい特長があります。管理画面とログインURLをサイバー攻撃から守る、安心の国産・日本語対応プラグインで、かんたんな設定を行うだけで、不正アクセスや不正ログインからWordPressを保護し、セキュリティが向上します。各機能の有効・無効(ON・OFF)や設定などを好みにカスタマイズし、いつでも保護状態を管理できます。
CloudSecure WP Securityの機能と設定項目
インストールし有効化
ダッシュボード左カラムにCloudSecure WP Securityが表示されるようになります。プラグインのダッシュボードから設定項目を設定していきます。
設定項目と機能の説明
| ①ログイン無効化 | 指定した期間内に指定した回数ログインに失敗した場合、 指定した時間ログインを無効化(ブロック)します。 ブルートフォースアタックやパスワードリスト攻撃など、 不正なログインを試みる攻撃を防ぐための機能です。 とくに、自動化された攻撃に有効です。 |
| ②ログインURL変更 | ログインURL(wp-login.php)を変更します。 半角英小文字、半角数字、ハイフン、アンダースコアの いずれかを使用し、 4文字以上12文字以下でお好みの名前(文字列)に設定できます。 ブルートフォースアタックやパスワードリスト攻撃など、 不正なログインを試みる攻撃を受けにくくするための機能です。 |
| ③ログインエラーメッセージ 統一 | ログイン時、ユーザー名、パスワード、画像認証の どれを間違えても同一のメッセージを表示します。 ユーザー名の存在を調査する攻撃を受けにくくするための機能です。 |
| ④2段階認証 | ログイン時、ユーザー名とパスワードの入力に加え、 別のコードで追加認証を行います。 利用するには、Google Authenticator アプリケーションで デバイスを登録する必要があります。 アプリケーションに表示された6桁の認証コードをログイン画面で入力し、 すべての情報が一致すればログインできます。 ユーザー名やパスワードを不正入手した第三者によるログインや なりすましを防止し、セキュリティを強化します。 |
| ⑤画像認証追加 | 画像データ上にランダムに表示される文字の入力を求め、 一致しなければ次の画面に進めないようにする機能です。 ログインフォーム、コメントフォーム、パスワードリセットフォーム、 ユーザー登録フォームに設定できます。 ブルートフォースアタックやパスワードリスト攻撃などの 不正なログインを試みる攻撃や、 悪意のあるプログラムからの機械的な不正アクセスを防止する機能です。 |
| ⑥理画面アクセス制限 | 管理画面にログインしていない接続元IPアドレスから 管理ページ(/wp-admin/以降)にアクセスすると、 404エラー(Not Found)を返します。 24時間以上管理画面にログインしていない接続元IPアドレスが対象です。 ログインすると接続元IPアドレスが記録され、 管理画面にアクセスできるようになります。 この機能を除外するページ(wp-admin以下)を指定できます。 |
| ⑦設定ファイルアクセス防止 | WordPressのシステムに関するファイルへの 不正アクセスを遮断する機能です。 |
| ⑧ユーザー名漏えい防止 | 「?author=数字」アクセスによるユーザー名の漏えいを防止します。 |
| ⑨XML-RPC無効化 | XML-RPC機能、またはピンバック機能を無効化し、 その乱用から管理画面を保護します。 |
| ⑩REST API無効化 | REST APIを無効化し、その悪用から管理画面を守ります。 |
| ⑪シンプルWAF | WordPressへの攻撃に対して、基本的な防御機能を備えた シンプルなWAF(Web Application Firewall)機能です。 SQLインジェクションやクロスサイトスクリプティングなどの 一般的な攻撃を遮断します。 |
| ⑫ログイン通知 | ログインがあったとき、ユーザーにメールで通知します。 心当たりのないメールを受信した場合、不正なログインを疑ってください。 |
| ⑬アップデート通知 | WordPress、プラグイン、テーマの更新が必要になったとき、 管理者にメールで通知します。 更新の確認は24時間ごとに行われます。 常に最新版を使用することが、セキュリティの基本です。 |
| ⑭サーバーエラー通知 | サーバーエラー「HTTPステータスコード500(Internal Server Error)」 が発生したとき、エラーの履歴を記録し、管理者にメールで通知します。 1時間以内に同じタイプのエラーが発生した場合、 エラーの履歴は記録しますが、メールでの通知は行いません。 |
| ⑮ログイン履歴 | 管理画面にログインした履歴を表示します。 それぞれの項目で絞り込んでの検索も可能です。 ログイン通知と同様、不正なログインの気づきを促す機能です。 |
何をどのように設定すべきか?
設定項目の中には、例えばXserverに備わっている機能と重複しているものがあったり、使用している他のプラグインに影響を与えてしまうために有効にしないほうが良かったりする機能も存在します。よって、私どもが制作し納品させていただいたり、管理させていただいているホームページ(WEBサイト)に関しては、私どもがあらかじめ設定を行っております。その他の場合には、こちらのサイトの説明が詳しいので、そちらを参照して設定してください。
世界中のホームページの43.7%で使用されており、CMSシェアでも世界No.1の62.2%を獲得 (2024年12月11日時点)しているWordpressは、利用者が多いため悪意のある攻撃者に狙われやすいことが事実としてあります。狙われやすい理由の一つには、広く普及しているが故に、多くの初心者が知識が少ないまま利用しており、セキュリティが甘いままのホームページも少なくないため、攻撃者にとって見るとWordPressは効率よく多くのホームページを狙えるツールだとも言うことができます。新たな脅威に対するセキュリティ対策を確実に行うためにもWordpress本体・テーマ(テンプレート)・プラグインを常に最新のバージョンにアップデートすることを怠ってはいけません。
