みなさん、こんにちは!
ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。
このサイトでは、ITについて特化したサイトを運営しています。
今回はSiteGuard WP Pluginが1.5.0にアップデートされたことを紹介します。
今までWordPressセキュリティの抜け道になっていた、ログインページ変更機能におけるリダイレクトに対して、無効化のオプションが追加され、より強力なセキュリティを発揮するようになっています。
ただ、現状において一部不具合を発見しました。
目次
SiteGuard WP Pluginとは?
SiteGuard WP Pluginは、WordPressで必須となるセキュリティ系のプラグインです。
多機能で、
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- ログイン履歴の確認
等があります。
今回大幅にアップデートされたのは、ログインページ変更機能におけるリダイレクトの無効化です。
ログインページ変更機能のリダイレクトとは?
SiteGuard WP Pluginでは、ログインページを変更する機能があります。
WprdPressのログインページは、一般的に、
- https://example.com/wp-login.php
なので、サイバー攻撃を行う際には容易にログインページを探し当てることができ、ブルートフォースアタック(総当たり攻撃)の成功率が高くなります。
さらにWordPressの仕様上、ログインユーザー名はほぼバレる仕様なので、あとはパスワードだけとなれば、もうWordPressは危険な状態になります。
このログインページをSiteGuard WP Pluginでは、
- https://example.com/login_*****
というアドレスに変更します。
*****の部分は5桁の乱数です。
もちろんこれは初期状態であり、WordPressのログインページを任意に変更することができます。
ただ、このログインページ変更機能には大きな落とし穴がありました。
なんと、直接管理ページURLである
- https://example.com/wp-admin/
にアクセスすると、変更されたログインページである
- https://example.com/login_*****
にリダイレクトされていました。
これではログインページを変更した意味がありませんよね。
このリダイレクト機能を無効化するにはいろいろ設定があったわけですが、今回、プラグイン自体が対応してくれたことになります。
リダイレクト無効化の設定方法
さて、SiteGuard WP Pluginに追加された新しい機能であるログインページ変更機能のリダイレクト無効化の設定方法を説明します。
WordPress管理画面のサイドバーから、「SiteGuard」→「ログインページ変更」へと進みます。
管理者ページからログインページへリダイレクトしないにチェックを入れて、変更を保存をクリックします。
これで設定は完了です。
念のため、
- https://example.com/wp-admin/
にアクセスして、ログインページへリダイレクトされないか確認してみてください。
アップデートされたSiteGuard WP Pluginの不具合
試しにSiteGuard WP Pluginの新機能であるリダイレクトの無効化機能を試してみたのですが、一部不具合(バグ)を発見しました。
リダイレクト無効化をONにした状態でログアウトし、wp-adminのURLにアクセスすると確かに404 Not Foundにはなったのですが、新着記事の一覧部分にまだ未公開の記事が表示されるようになっています。
したのスクリーンショットでは、現在執筆中の記事が、なぜか表示されています。
下書き状態の記事にアクセスしても404になるのでセキュリティ上の問題はないのでしょうが、少し気になる不具合でした。
なお、皆様が当サイトのwp-adminにアクセスしても、IPアドレス制限でアクセスをブロックするので、下記のような現象を実際にお見せすることはできません。
ご自身のWordPressサイトでお確かめください。
WordPressにはIPアドレス制限も含めた強固なセキュリティを
なお、SiteGuard WP Pluginは非常に強力なプラグインですが、WordPressの常時SSL化やIPアドレス制限も含めたセキュリティは必ず行っておきましょう。
常時SSL化
WordPressにおいて常時SSL化は必須であると思ってください。
WordPressの仕様上、ブラウザでユーザー名とパスワードを入力しますが、常時SSL化されていないWordpressでは、暗号化されずにパスワードが送信されます。
これは、通信経路においての盗聴のリスクがあり、どれだけ強力なパスワードを設定しても無意味ということになります。
常時SSL化を行っているWordPressであれば、パスワードが暗号化されて送信されますので、通信経路においてパスワードが漏れる心配はありません。
WordPressの常時SSL化は、WordPressのセキュリティにおいての基本であると覚えておいてください。
IPアドレス制限
IPアドレス制限は、ログインページや管理画面に、指定したIPアドレス以外は閲覧できないようにします。
これによって、ログインユーザー名とパスワードが外部に漏れても、攻撃者がそもそもログインページにアクセスできなくなることから、最低限のセキュリティは保てます。
言わばIPアドレス制限は最強かつ最後の砦なので、絶対に対策を行っておきましょう。
なお、IPアドレス制限においては、固定IPアドレスの環境でなければ難しいです。
また、IPアドレス制限を行っていても、ご自身のパソコンがウイルス感染などで遠隔操作を行われると無意味になりますので、ちゃんとしたウイルスセキュリティソフトも導入しておきましょう。
まとめ
ここまで、SiteGuard WP Pluginのアップデートと、WordPressの基本的なセキュリティについて紹介をしていました。
WordPress便利なCMSでありながら、サイバー攻撃の対象にされやすいです。
また復旧作業においてもデータベースの操作が必要になり、時間もかかります。
しっかりとバックアップととると同時に、基本的なセキュリティも抜けの内容に行ってください。
以上、SiteGuard WP PluginのアップデートとWordPressセキュリティについて参考になれば幸いです。
