SiteGuard WP Plugin
Release 1.0.1
Last update 2014.10.22
概要
SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上することができます。
SiteGurad WP Pluginは、管理ページとログインに関する攻撃からの防御に特化したセキュリティプラグインです。
WAF ( SiteGuard Lite )の除外ルールを作成する機能もあります。( 使用するにはWAFがWebサーバにインストールされている必要があります )
機能
機能一覧
以下のような機能があります。
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
|---|---|
| ログインページ変更 | ログインページ名を変更します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラー メッセージの無効化 |
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
| ピンバック無効化 | ピンバックの悪用を防ぎます。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成します。 |
管理ページアクセス制限
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
ログインページ変更
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
画像認証
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
ひらがなの画像認証の例
英数字の画像認証の例
ログイン詳細エラーメッセージの無効化
ユーザ名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても下記のエラーメッセージを表示します。
※ログインロック、フェールワンスは、異なるエラーメッセージを出力します。
ログインロック
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザアカウント毎のロックは行いません。
ログインロックの状態になると、以下のエラーメッセージを表示します。
フェールワンス
リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
1回目のログイン失敗時は、以下のエラーメッセージを表示します。
ピンバック無効化
ピンバック機能を無効にし、悪用を防ぎます。
WAFチューニングサポート
WebサーバにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。