Site Guard WP Plugin ログイン画面を詳細に制御できるプラグイン

 
WordPressWordPressプラグイン

最近、WordPressの管理画面への不正アクセスの試みが増加してるので、
Site Guard WP Plugin
というプラグインを導入してみましたが、効果は上々。

インストールして有効化すると初期設定として、
ログインページが通常の「wp-login.php」から異なるURLに変更されます。

攻撃者は通常のURLで不正アクセスを試みますが、
異なるURLなので存在しないページという判断となってログイン画面にアクセスできなくなります。

この異なるURLは任意の文字列に設定可能です。

他の機能は以下の通りです。

管理画面アクセス制限
管理画面に関するファイルへのアクセスをログイン中のユーザーのみにします。
一部のファイルは任意に例外にできます。

画像認証
ログイン時、コメント投稿時などに画像認証を追加します。
認証は個別に設定可能です。

ログイン詳細エラーメッセージの無効化
エラーメッセージが表示されないようにします。
エラーメッセージを表示すると攻撃者に手がかりを与えてしまいます。
ログイン画面へのアクセスを異なるURLにすれば、ほとんどの攻撃は回避できますが、
仮にその異なるURLがバレても、エラーメッセージが表示されないと更に安全性が高まるわけです。

ログインロック
ログイン時にエラーとなった際の処理を選択肢から設定できます。
個人的には時間や回数を自由に指定できるLimit Login Attemptsの方がオススメです。

ログインアラート
ログインが発生したらメールで通知します。
身に覚えの無い通知が来たら、攻撃者にサイトを乗っ取られたということです。

フェールワンス
正規にログインが成功しても、1度だけわざと失敗扱いとする機能です。
初期設定ではオフ。
攻撃者が正規のIDとパスワードを入力しても、失敗となるので使えないと判断するわけです。

ピンバック無効化
ピンバック機能を停止します。
WordPressには記事中にURLがあると、自動的に更新を通知する機能があります。
ただしそのURLのサイトがWordPressを使っていないと無意味。

更新通知
WordPress本体やプラグイン、テーマの更新があるとメールで通知します。
WordPress標準のアドバンスド自動更新に同じ機能があるので、無効で良いかと。

WAFチューニング
Site Guard WP Pluginを作っている会社によるオプション機能で、
誤検出を防ぐ機能らしいのですが、WAFのインストールが別途必要なので具体的な使用感はわかりません。

にほんブログ村 その他生活ブログ 雑学・豆知識へ
にほんブログ村

この記事のショートリンク

コメント