WordPressでサイトを運営していると、セキュリティのことが気になりませんか?
実は、WordPressは世界中のウェブサイトの約40%で使われているため、悪意のある攻撃者から狙われやすいCMSなんです。でも安心してください。今回ご紹介する「SiteGuard WP Plugin」は、日本製の無料セキュリティプラグインで、初心者でも簡単にWordPressを守ることができます。
この記事では、SiteGuardの導入方法から基本的な機能設定まで、中学生でも分かるように解説していきます。5分もあれば設定完了できるので、ぜひ最後まで読んでみてくださいね。
WordPressって実は狙われやすい?知っておきたいセキュリティの話
なぜWordPressはハッカーに狙われるの?
WordPressが狙われる理由は、実はとてもシンプルです。
まず、利用者数が圧倒的に多いことが挙げられます。世界中のウェブサイトの約40%がWordPressで作られており、一つの攻撃方法が成功すれば、多くのサイトに同じ手法が使えるからです。たとえば、泥棒が同じ鍵で多くの家に入れるとしたら、その鍵の作り方を覚えますよね。
また、オープンソースであることも理由の一つです。WordPressのプログラムコードは誰でも見ることができるため、セキュリティホールを見つけやすいという特徴があります。
セキュリティ対策をしないとどうなる?
WordPressのセキュリティ対策を怠ると、深刻な被害を受ける可能性があります。
最も多いのは、サイトの改ざんです。ログインページから不正にアクセスされ、サイトの内容を勝手に変更されてしまいます。企業サイトの場合、信頼性の失墜につながる可能性があります。
さらに怖いのは、個人情報の流出です。お問い合わせフォームから収集した顧客情報や、会員制サイトの場合は会員データが盗まれる危険性があります。
実は、マルウェアの配布拠点にされてしまうケースもあります。訪問者のパソコンにウイルスをばらまく踏み台として、あなたのサイトが悪用されてしまうんです。
日本製プラグインが安心な3つの理由
SiteGuardが日本製であることには、大きな意味があります。
まず、日本語のサポートが充実していることです。設定でつまずいた時や、トラブルが発生した時も、日本語で問い合わせができるので安心です。海外製のプラグインだと、英語でのやり取りが必要になることが多いんです。
次に、日本の法律や商習慣に配慮した設計になっていることです。たとえば、個人情報保護法に準拠した仕様になっているため、法的なリスクを軽減できます。
そして、日本のサーバー環境に最適化されていることも重要なポイントです。国内の主要レンタルサーバーでの動作検証がしっかりと行われており、相性問題が起きにくい設計になっています。
SiteGuardって何?日本生まれの頼れるボディーガード
SiteGuardの開発会社と信頼性
SiteGuardは、EGセキュアソリューションズという日本の専門企業が開発しています。
この会社は、2005年から企業向けのセキュリティソリューションを提供しており、セキュリティ分野での実績と信頼性は抜群です。単なるIT企業ではなく、セキュリティに特化した専門企業だからこそ、本格的な保護機能を無料で提供できるんです。
実は、SiteGuardには企業向けの有料版「SiteGuard Server Edition」もあります。WordPressプラグインは、その技術をベースに個人や小規模事業者向けに開発されたものです。つまり、企業レベルのセキュリティ技術を、無料で利用できるということになります。
無料で使えるのに高機能な理由
「なぜこんなに高機能なのに無料なの?」と疑問に思う方もいるでしょう。
実は、EGセキュアソリューションズにとって、WordPressプラグインは企業向けサービスへの入り口という位置づけなんです。個人ユーザーに無料で価値を提供し、将来的に企業向けサービスを知ってもらうというマーケティング戦略でもあります。
また、セキュリティ業界全体のレベル向上という社会貢献の側面もあります。WordPressサイトのセキュリティが向上すれば、インターネット全体が安全になりますからね。
他の海外製プラグインとの違い
SiteGuardと海外製セキュリティプラグインには、明確な違いがあります。
最も大きな違いは、設定の分かりやすさです。海外製プラグインは機能が豊富すぎて、初心者には設定が複雑すぎることが多いんです。SiteGuardは、日本人の使いやすさを考慮して、必要最小限の設定で最大限の効果を発揮するよう設計されています。
また、日本語での攻撃パターンに対応していることも重要なポイントです。たとえば、ひらがなの画像認証機能は、海外の自動攻撃ツールには対応が難しく、高い防御効果を発揮します。
5分で完了!SiteGuardのインストールから初期設定まで
WordPressにプラグインを追加する手順
SiteGuardのインストールは、他のWordPressプラグインと同じ手順で行えます。
まず、WordPressの管理画面にログインして、左メニューから「プラグイン」→「新規追加」をクリックします。検索ボックスに「SiteGuard」と入力すると、「SiteGuard WP Plugin」が表示されるので、「今すぐインストール」をクリックしてください。
インストールが完了したら、「有効化」ボタンをクリックします。これで基本的なインストール作業は完了です。たった30秒程度で済んでしまいます。
ただし、ここで注意があります。有効化した瞬間から、ログインURLが自動的に変更されるんです。この新しいURLをメモしておかないと、次回ログインできなくなってしまいます。
有効化したら最初にやること
プラグインを有効化すると、WordPress管理画面の左メニューに「SiteGuard」という項目が追加されます。
最初にクリックすると、設定画面が表示されます。この画面で、現在のログインURLが確認できるので、必ずブックマークに保存してください。従来の「/wp-admin/」や「/wp-login.php」では、もうログインできなくなっています。
初期設定では、多くの機能が自動的にオンになっています。そのため、特別な設定をしなくても、基本的なセキュリティ対策はすぐに効果を発揮します。
ログインURLが変わる?新しいURLを忘れない方法
SiteGuardを有効化すると、ログインURLは「/login_12345」のようなランダムな文字列に変更されます。
この新しいURLを忘れないための方法をご紹介します。まず、ブラウザのブックマーク機能を活用しましょう。「WordPress管理画面」などの分かりやすい名前で保存しておけば安心です。
パスワード管理ツールを使っている場合は、そちらにも新しいURLを保存しておくことをおすすめします。万が一ブックマークが消えてしまっても、パスワード管理ツールから確認できます。
ただし、もしURLを忘れてしまった場合でも大丈夫です。FTPソフトでサーバーにアクセスし、プラグインフォルダを一時的に削除すれば、元のログインURLでアクセスできるようになります。
これだけは覚えて!SiteGuardの5つの基本機能
SiteGuardには多くの機能がありますが、特に重要な5つの機能を詳しく解説します。
| 機能名 | 目的 | 初期設定 |
|---|---|---|
| ログインページ変更 | 不正アクセスの入り口を隠す | ON |
| 画像認証 | ロボットによる自動攻撃を防ぐ | ON |
| 管理ページアクセス制限 | 管理画面への不正アクセスを制限 | OFF |
| ログインロック | 連続ログイン失敗をブロック | ON |
| ログインアラート | ログイン時にメール通知 | ON |
ログインページを隠す「ログインページ変更」機能
この機能は、WordPressの標準ログインURL「/wp-admin/」を別のURLに変更します。
なぜこれが重要かというと、攻撃者の多くは自動化されたツールを使って、標準的なログインURLに対して総当たり攻撃を仕掛けてくるからです。たとえば、家の鍵穴を見えない場所に隠すようなものですね。
ログインページが見つからなければ、攻撃の第一段階である「ログイン試行」すらできなくなります。これだけで、大部分の自動攻撃をシャットアウトできるんです。
設定画面では、URLの末尾部分をカスタマイズすることも可能です。ただし、推測されやすい文字列(「admin」「login」など)は避けた方が安全です。
ロボットをブロックする「画像認証」機能
画像認証は、ログイン時に表示される文字や数字を入力させる機能です。
SiteGuardの画像認証には、「英数字」と「ひらがな」の2つのタイプがあります。特に「ひらがな」は、海外の攻撃ツールには対応が困難で、高い防御効果を発揮します。
実は、この機能は人間とコンピューターを区別するためのものです。人間なら簡単に読める文字も、自動化されたプログラムには判別が困難なんです。
ただし、認証画像が読みにくいと、正当なユーザーにとってストレスになることもあります。その場合は、設定画面で画像の種類や難易度を調整できます。
不正な侵入者をシャットアウト「管理ページアクセス制限」機能
この機能は、管理画面へのアクセスを特定のIPアドレスに制限します。
たとえば、自宅と職場からしかサイト管理をしない場合、その2つのIPアドレスだけを許可すれば、他の場所からのアクセスは全てブロックされます。銀行のATMが特定の時間帯にしか使えないのと似ていますね。
初期設定では無効になっているので、必要に応じて有効化してください。設定時は、現在のIPアドレスが自動的に追加されるため、設定後に自分がロックアウトされる心配はありません。
ただし、外出先からも管理画面にアクセスする可能性がある場合は、この機能は使わない方が良いでしょう。IPアドレスは場所によって変わるため、アクセスできなくなる可能性があります。
連続攻撃を阻止する「ログインロック」機能
ログインロックは、短時間に複数回ログインに失敗したIPアドレスを一定時間ブロックする機能です。
初期設定では、5回連続でログインに失敗すると、そのIPアドレスから5分間ログインできなくなります。これにより、パスワードを総当たりで試すような攻撃を効果的に防げます。
「5回も失敗できるなら甘いのでは?」と思うかもしれませんが、これには理由があります。正当なユーザーがパスワードを忘れて何度か試すことを考慮しているんです。
設定画面では、ロック回数や時間をカスタマイズできます。より厳しくしたい場合は、3回失敗で10分間ロックなどに変更することも可能です。
不審なアクセスを知らせる「ログインアラート」機能
ログインアラートは、管理画面にログインがあった際に、登録されたメールアドレスに通知を送る機能です。
この機能により、万が一不正ログインが発生した場合でも、すぐに気づくことができます。たとえば、深夜にログイン通知が来た場合、「あれ?この時間にログインした覚えがない」とすぐに気づけますよね。
通知メールには、ログイン時刻、IPアドレス、ユーザー名などの詳細情報が記載されます。これらの情報を確認して、身に覚えのないログインでないかチェックしてください。
ただし、頻繁にログインする場合は、通知メールが多くなることもあります。その場合は、設定画面で通知の対象を調整することも可能です。
もう少し詳しく!各機能の設定方法とコツ
ログインページ変更で覚えておくべき注意点
ログインページ変更機能を使う際は、いくつかの注意点があります。
まず、変更後のURLは複数の場所に保存しておきましょう。ブラウザのブックマークだけでなく、パスワード管理アプリやメモ帳にも記録しておくと安心です。万が一ブラウザのデータが消えても、他の場所から確認できます。
また、他の管理者がいる場合は、新しいURLを確実に共有してください。変更後のURLを知らない管理者は、サイトにログインできなくなってしまいます。
さらに、一部のプラグインは標準のログインURLを前提としているため、動作に影響が出る可能性があります。特に、ソーシャルログイン系のプラグインは注意が必要です。
画像認証は「ひらがな」と「英数字」どちらがいい?
画像認証の種類選択は、サイトの利用者層を考慮して決めましょう。
日本語圏のユーザーが中心なら、「ひらがな」がおすすめです。海外の自動攻撃ツールの多くは、ひらがなに対応していないため、高い防御効果が期待できます。また、日本人なら幼稚園児でも読めるため、ユーザビリティの問題も少ないでしょう。
一方、海外のユーザーも多い国際的なサイトの場合は、「英数字」の方が適しています。ひらがなが読めない海外ユーザーにとって、ひらがな認証は大きなストレスになるからです。
設定は後からでも変更できるので、まずは「ひらがな」で試してみて、問題があれば「英数字」に変更するという方法もあります。
管理ページアクセス制限で困ったときの対処法
管理ページアクセス制限を有効にした後、アクセスできなくなることがあります。
最も多いのは、プロバイダーの都合でIPアドレスが変更された場合です。特に、モバイル回線やケーブルテレビのインターネットは、IPアドレスが頻繁に変わることがあります。
このような場合の対処法は、FTPソフトを使ってサーバーに直接アクセスし、一時的にプラグインを無効化することです。具体的には、プラグインフォルダの名前を変更すれば、一時的に機能を停止できます。
また、事前の対策として、複数のIPアドレスを登録しておくことも有効です。自宅、職場、スマートフォンのテザリングなど、複数の接続環境のIPアドレスを設定しておけば、万が一の時も安心です。
よくあるトラブルと解決方法
ログインURLを忘れてしまった時の対処法
「ログインURLを忘れてしまった!」これは、SiteGuardユーザーが最も陥りやすいトラブルです。
でも慌てる必要はありません。FTPソフトでサーバーにアクセスできれば、簡単に解決できます。WordPressがインストールされているフォルダ内の「wp-content/plugins/」にある「siteguard」フォルダの名前を、「siteguard_backup」などに変更してください。
これにより、プラグインが一時的に無効化され、通常の「/wp-admin/」でログインできるようになります。ログイン後、フォルダ名を元に戻せば、プラグインが再び有効になり、設定画面で新しいログインURLを確認できます。
FTPソフトの使い方が分からない場合は、レンタルサーバーのファイルマネージャー機能を使う方法もあります。多くのレンタルサーバーでは、ブラウザ上でファイル操作ができる機能を提供しています。
サイトが表示されなくなった時のチェックポイント
SiteGuardを導入後、サイトが表示されなくなることがまれにあります。
まず確認すべきは、管理ページアクセス制限の設定です。この機能が有効になっていて、現在のIPアドレスが許可リストに含まれていない場合、管理画面にアクセスできなくなります。
次に、他のセキュリティプラグインとの競合がないかチェックしてください。複数のセキュリティプラグインを同時に使用すると、お互いの機能が干渉して問題が発生することがあります。
また、サーバーのPHPバージョンが古い場合も、動作に問題が生じる可能性があります。SiteGuardは最新のPHPバージョンに対応していますが、古いバージョンでは一部の機能が正しく動作しないことがあります。
他のプラグインと相性が悪い時の対応
SiteGuardは多くのプラグインと問題なく動作しますが、まれに相性の悪いプラグインがあります。
特に注意が必要なのは、キャッシュ系プラグインです。キャッシュプラグインがログインページをキャッシュしてしまうと、ログインページ変更機能が正しく動作しない場合があります。この場合は、キャッシュプラグインの設定で、ログインページをキャッシュ対象から除外してください。
また、他のセキュリティプラグインとの同時使用も問題を引き起こすことがあります。機能が重複すると、予期しない動作を引き起こす可能性があるためです。
問題が発生した場合は、最近インストールしたプラグインを一時的に無効化して、問題が解決するかテストしてみてください。原因となるプラグインを特定できれば、設定を調整するか、代替プラグインを探すという対応ができます。
まとめ
SiteGuardは、WordPressサイトを守るための必須プラグインといえるでしょう。日本製ならではの使いやすさと、企業レベルのセキュリティ技術を無料で利用できるのは、他では得られない大きなメリットです。
5分程度の簡単な設定で、ログインページの隠蔽から画像認証まで、包括的なセキュリティ対策が完了します。特に初心者の方にとって、複雑な設定なしで高い防御効果を得られるのは心強いですね。ただし、ログインURLの変更だけは忘れずにメモしておくことが重要です。
WordPressのセキュリティは「転ばぬ先の杖」です。攻撃を受けてから対策するのではなく、今すぐSiteGuardを導入して、安心してサイト運営を続けていきましょう。
