「SiteGuard WP Plugin」入れたし、これでセキュリティ対策は完璧。
初期設定のままだろ?アターック!
えっ?ちょっとは変えたけど?
まだまだ甘いわ!こうすれば分かんのよ。アターック!
えっ?んで、この「php」って何!!
wordpressを立ち上げて、「SiteGuard」を入れてそのまま使っている人へ
必ず設定をしましょう!
「SiteGuard」デフォルト設定は危険と思った訳
なんだろう、このアクセス?
何気なくサーバーのアクセス解析を見た「あまうが」。
ページ別のアクセス。
「/wp-admin/admin.php」やら「/wp-admin/admin-ajax.php」やら…。
でも、なんか、よくない感じがする。
だって、「admin.php」ってログインに関係する何かって感じよね?
試しに自分のURLの後に、「/wp-admin/admin.php」を打ち込んでみたら、隠したはずのログイン画面が「こんにちは!」したよ。
おう、まい、が。
「SiteGuard WP Plugin」のデフォルト設定
これがデフォルトの画面だよね。
で、私はよくわからないから、このチェックはデフォルトのまま。
後述するけど、基本、チェックは外したらいけないと思うよ。
重要度順(低→高)に書いていくよ。(「あまうが」判断)
よくわからないので設定を触らない項目
ぶっちゃけ、「あまうが」はよくわからないから触らない。なんか変になったら怖いし…。だからデフォルトのまんまで。
- 管理ページアクセス制限 デフォルト「OFF」
(なんか勉強した方がいい気がするけど、後で…。) - XMLRCP防御 デフォルト「ON」
- WAFチューニングサポート デフォルト「OFF」
- 詳細設定 デフォルト「リモートアドレス」
理解したうえで設定を触らない項目
画像認証
「SiteGuard」上から4つ目。デフォルト設定は「ON」
外国人は、アルファベットは得意だけど、平仮名は苦手な人が多いと思うのよ。
私たちがアラビア文字を見た時に感じる気持ちと同じじゃないかな?
だから、設定はそのまま。
英数字に変えるなんてナンセンスよ!
ログイン詳細エラーメッセージの無効化
「SiteGuard」上から5つ目。デフォルト設定は「ON」
ログイン失敗したときに、『「ユーザー名」間違ってますよ。』とか『「パスワード」間違ってますよ。』とか教えずに、『何かが間違ってるよ。』と表示させるんだよ。
『「パスワード」間違ってますよ。』って言ったら、『なるほど、「ユーザー名」はあってるんだ。』ってハッカーに教えることになるからね。
ログインロック
「SiteGuard」上から6つ目。
デフォルト設定は以下の通り。
- 期間 5秒
- 回数 3回
- ロック時間 1分
携帯でもある機能だよね。何回か間違うとしばらく操作できないっていうやつ。
PCは攻撃ソフトでアタックしてくるからこのままにしておく。
ログインアラート
「SiteGuard」上から7つ目の項目。デフォルト設定「ON」
不正なログインがあったらとりあえず知りたい。対応できなくても知っておくだけでもいい。だから、これもデフォルトのまま。
フェールワンス
「SiteGuard」上から8つ目の項目。デフォルト設定「OFF」
正しいログイン情報を入力しても1回だけログインが失敗するそうな。
5秒後~60秒以内に正しいログイン情報を入力するとログインが成功するそうな…。
心臓に悪そうだな…。「あまうが」よく打ち間違いするしね。でも、効果はあるのかも…。
でも、とりあえず、今は「OFF」かな。
今後いろいろわかってきたら「ON」にするかも。
いや、それよりも「二段階認証」にするかな?
ただね、携帯の容量がもう一杯で、アプリを入れられるか…。
買い替えも控えてるから悩みどころよ。
「ログイン履歴」
「SiteGuard」の1番下の項目。
うーん。これ、不正アタックは関知してくれないみたい。
気が向いたら見てみるかも。
あえてチェックを外す項目
更新通知
「SiteGuard」下から4つ目の項目。デフォルト設定は「ON」。
デフォルトは「ON」。でもブログの更新が頻繁なら「WordPress」にログインしたときに更新情報に気が付くから「OFF」にしても問題ないかなと思ってるよ。
デフォルトは「ON」の状態なので、「OFF」を押すと黒くなって、選択したことになるよ。一番下の「変更を保存」を忘れず押してね。
設定を変更すべき項目は「ログインページ変更」
ようやく本題に入るよ。前置き長かった!
変更すべきものはこれ!上から3番目の項目「ログインページ変更」。
「変更後のログインページ名」は変更しよう。
このログインページ、みんな変えてる?
デフォルトのまんまってかなり危ないと思うのよ。
このプラグインを入れたってことは、WordPressのデフォルトの「/wp-admin」が危ないって思ったからでしょ?
login_<5桁の乱数>
5桁の数字の組み合わせだと、10の5乗で、100,000通りしかないわけよ。
前ね、テレビ見てたときのこと。
関西の超有名難関私立中学、灘中の生徒がダイヤルロックの暗証番号を忘れたのね。
ダイヤルロックってこういうやつ。
で、心配するテレビスタッフに「1分もあれば開けられるので大丈夫です。」っていったのよ。
聞いたとき、「本当?」とか思ったわけよ。
でね、考えてみた。
0~9までの2つの数字の組み合わせだから、10通りだよね。
2桁だから、10の2乗で100通り。
1つの組み合わせを確かめるのに1秒かかるとして、100秒=1分40秒
うん、1分は難しいとは思うけど、2分以内に鍵は開けられそうね。
じゃあ、「SiteGuard」のデフォルトのログインページ名がばれてしまう時間は?
数字を確かめるのに1秒かかるとして、100,000秒=27時間46分40秒。
手動でさえそれだけの時間しかかからないから、プログラムでやったらあっという間にURL特定されそう。
実際にはほかにもいろいろチェックが入るからログインページのURLは大丈夫だろうけど…(だよね?)
でも、セキュリティーを高めるためにも「SiteGaurd」のデフォルトのログインページ名は必ず変更しよう。
オプションにチェックを入れよう!!
いくら「変更後のログインページ名」を変更しても、「オプション」チェックを入れなかったら、意味なしだよ。ログインページがばれた理由はここ。
みんな、「WordPress」のデフォルトのログインページ、何だったか覚えてるよね?
https://( ドメイン名)/wp-admin
では、アドレスバーに入力して「Enter」を押してみて。
どう?
「SiteGuard」でデフォルト設定されているログインページ出てこなかった?
出てきた人、すぐさま、「オプション」にチェックを入れてね。
ぜひ広めていただきたい!
「あまうが」はこの記事を書こうと思って、おさらいにネットやYouTubeを見てみたよ。けど、『「オプション」にチェックを入れてね。』とアナウンスしていたのは「さっとが」さんぐらいで、他の人は「デフォルトで大丈夫。」って感じだった。
ついでに「大丈夫なの?」と思う動画もあったよ。
管理がしづらいからとデフォルト設定からチェックを外していくの。
- 「ログインページ変更」OFF
- 「画像認証」OFF
- 「ログインアラート」OFF
最後に「これだけの設定をやったとしても、必ずセキュリティを破られないとは限らないけれど、やらないよりはまし。」と説明されているのよ。でもね、この方がしておられる設定はセキュリティを緩くしていることだと思うのよ。個人指導もされている先生みたいなんだけど、なんで薄氷を踏みに行くのかしら…。「あまうが」は厚い氷を踏んで歩きたいわ。皆さんも厚い氷の上を歩きましょうよ。
まとめ
「SiteGuard WP Plugin」は2つのデフォルト設定を変えてね。
- 「ログインページ変更」→「変更後のログインページ名」を変更する。
- 「ログインページ変更」→「オプション」をチェックする。
みんなでセキュリティ対策をしよう。
(最終的には二段階認証を目指して頑張るよ、「あまうが」は。)
コメント