SiteGuard WP Plugin
より詳細な情報やドキュメント、よくある質問 (FAQ) は、 英語ページ 日本語ページ にあります。
SiteGuard WP Plugin をインストールするだけで、WordPress のセキュリティが向上します。 このプラグインは、ブルートフォース攻撃の保護や管理機能など、ログイン攻撃に特化したセキュリティ用のプラグインです。
注
- WordPress のマルチサイト機能はサポートしていません。
- Web サーバー用の Apache 1.3、2.xのみをサポートします。
- CAPTCHA 機能を使用するには、拡張ライブラリ 「mbstring」 と 「gd」 を php にインストールする必要があります。
- 管理ページフィルター機能、ログインページ変更機能を利用するためには、 Apache に 「mod_rewrite」 を読み込ませる必要があります。
- WAFチューニングサポートを使用するには、ApacheにWAF(SiteGuard Server Edition)がインストールされている必要があります。
以下の機能があります。
- 管理ページのIPフィルター
管理画面 (wp-admin 配下) への攻撃を防御する機能です。 管理ページにログインしていない接続元 IP アドレスからのアクセスに対しては、404 (Not Found) を返します。 ログイン時に接続元 IP アドレスを記録し、そのページへのアクセス許可を行います。 24時間以上ログインしていない接続元 IP アドレスは順次削除されます。 この機能によって除外する URL (wp-admin 配下) は変更できます。
- ログイン名の変更
ブルートフォース攻撃、リスト攻撃等の、不正ログイン攻撃を受けにくくするための機能です。ログインページ (wp-login.php) の名前を変更します。初期値は、「login_<5桁の乱数>」 ですが、好きな名前に変更することができます。
- CAPTCHA
これは、ブルートフォース攻撃やリスト攻撃といった不正なログイン試行攻撃、またはコメントスパムを減らすための機能です。CAPTCHAの文字列は、ひらがなと英数字から選択することができます。
- ログインロック
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
- ログイン通知
これは、不正ログインに気付きやすくするための機能です。ログインが行われると、ログインユーザーにメールが送信されます。 ログインした覚えがないのにメールを受け取った場合は、不正ログインの可能性を疑ってください。
- 1回失敗する
これは、パスワードリスト攻撃に対する脆弱性を減らす機能です。ログイン入力が正しい場合でも、最初のログインは失敗します。 5秒以上60秒以内に再度ログインを行うと、ログインが成功します。最初のログインの失敗時には、以下のエラーメッセージが表示されます。
- ピンバックを無効にする
pingback 機能を無効化し、その乱用を防止します。
- ユーザー名漏えい防御
「/?author=」アクセスによるユーザー名の漏洩を防ぎます。
- アップデート通知
セキュリティの基本は、常に最新バージョンを使用することです。WordPressのコア、プラグイン、およびテーマの更新が必要な場合、管理者に通知するメールが送信されます。
- WAF チューニングサポート
EG Secure Solutions 社の WAF (SiteGuard Server Edition) が Web サーバにインストールされている場合に、WordPress の誤検知 (正常アクセス時の403エラー発生も含む) を回避するためのルールを作成する機能です。 WAF は、Web サーバに対する外部からの攻撃を防ぎますが、WordPress やプラグインの機能によっては、実際には攻撃されていないにも関わらず、WAF が攻撃を検知し、その機能をブロックしてしまうことがあります。 WAF 除外ルールを作成することで、指定した機能の誤検知を防ぎつつ、WAF の保護機能を有効にすることができます。
翻訳
独自の翻訳を作成した場合、または既存の翻訳を更新した場合は gettext の PO ファイルと MO ファイル を sgdev@jp-secure.com に送信すると、 SiteGuard WP プラグインに組み込む事ができます。最新のものは POT ファイル と 各言語の PO ファイル からダウンロードすることができます。