【WordPress】SiteGuard WP Pluginで画像認証とXMLRPC無効化を行う

当サイトでも使用しているプラグインSiteGuard WP Plugin、
様々なセキュリティ機能を持っており、記事作成時点では以下の機能を持っています。

• 管理ページアクセス制限
• ログインページ変更
• 画像認証
• ログイン詳細エラーメッセージの無効化
• ログインロック
• ログインアラート
• フェールワンス
• XMLRPC防御
• 更新通知
• WAFチューニングサポート

私は、「画像認証」と「XMLRPC防御」を使用しています。

インストール後、管理画面の「SiteGuard」から設定画面へ

インストール後は、管理画面のメニュー「SiteGuard→ダッシュボード」で設定一覧画面を開くことができます。

設定一覧画面には前述した各項目と機能の説明が書かれており、チェックマークが緑色になっている項目が「ON」状態になっている機能です。
各項目名をクリックすると、それぞれの設定画面を開くことができます。

1.画像認証機能は、4種類の画面に対してON/OFF切り替えが可能

画像認証機能は、以下の4つの画面に対して設定することが出来るようになっています。

• ログインページ
• コメントページ
• パスワード確認ページ
• ユーザ登録ページ

それぞれの画面に対して、「ひらがな」「英数字」「無効」を選択することができるわけですが、
私は英数字ではなく「ひらがな」を選択しています。
日本固有の文字かつ2バイト文字であるため、世界中で使われている英数字よりも効果はあるだろう、ということで。

コメントについては、承認制にしていることと、スパム対策として別途プラグインを使用してフィルタしているため、
画像認証については無効としています。

機能を使用する場合は「ON」になっていることを確認しておく必要がありますね。

2.XMLRPC無効化か、ピンバック無効化かを選択できる

XMLRPCって何？

投稿の自動化を実施したりする場合に使えるプロトコルの一種のですが、
今となってはセキュリティホールとして悪用される事の方が有名で、不正アクセスが行われる可能性が非常に高いとのこと。
そのため、私はXMLRPCを無効に設定しています。

ただし、設定画面に書かれている通りXMLRPCを無効にすると動作しない機能やプラグイン等が出る可能性があるので注意が必要です。

ピンバックって何？

トラックバックに似た機能ですが、WordPress同士で機能する記事内の相互リンク機能のようなもの。
善意だけで使われれば良いのだが、スパマーからのピンバックが大量に飛んでくるリスクもある。

つまるところ

私の中では不正アクセスやスパマーから狙われるリスクがある以上、
今となってはXMLRPC自体を無効化しておいた方が安全性が高まる、という結論になりました。

動作確認を必ず行いましょう

ログイン履歴は「SiteGuard→ログイン履歴」から確認できますし、
画像認証設定は各画面にて有効になっているかどうかを確認することができますので、目視確認しておきます。
できれば一度ログアウトして、実際に画像認証を使ってのログインをテストしておきましょう。

さいごに

WordPressといえばスパムと不正アクセス、という印象が私の中では強いので、
これらの対策は私の中で必須事項でした。
こういったプラグインで対策ができるというのは便利なので、ぜひ活用していきたいですね。

＜スポンサードリンク＞