この記事は2024年10月31日に加筆修正しています。

はじめに

WordPressの管理サイトは便利である一方、セキュリティリスクも抱えています。
今回は、その中でも特に重要な「ログインIDの流出を防ぐ設定方法」と、セキュリティを強化するプラグイン「SiteGuard WP Plugin」の導入について紹介します。
適切な対策を行い、サイトの安全性を確保しましょう。

セキュリティー強化

ウェブページでは、特定の方法でログインIDが知られてしまうリスクがあります。
これは、攻撃者にとってサイト侵入へのヒントを与えてしまうことになり、セキュリティ上大変危険です。

ログインIDが漏れる原因

例えば、次のようにブログURLの末尾に「?author=1」をつけてリクエストしたとします。

URL入力例

https://blog.aaaa.bbbb/?author=1

すると次のように、ログインID（例では hogehoge）が見えてしまうことがあります。
これはセキュリティ上問題があります。

表示結果

https://blog.aaaa.bbbb/hogehoge/

この例では、「hogehoge」というログインIDが見えています。
このような情報漏洩を防ぐために、ログインIDを見せなくするための設定が必要になります。

テーマ「Cocoon」での設定

ここではWordPressのテーマ 「Cocoon」を使用した設定方法を紹介します。
他のテーマを使用している場合は、ここでの設定を参考に同様の設定できるか試してみてください。

設定手順

【☆重要】注意しないといけないのは、この設定は一つ間違うとページが表示されなくなることがあります。
実行前にはバックアップを実施するなど、細心の注意を払ってください。

次のコードを正確にコピーし、”選択したファイルの内容”にペーストします。
誤字などないことを確認して、”ファイルの更新”をクリックします。

// author ページからトップページへリダイレクトする
function function_redirect_author_archive() {
if (is_author() ) {
wp_redirect( home_url());
exit;
}
}

add_action( ‘template_redirect’, ‘function_redirect_author_archive’ );

ブログのノウハウ紹介ブログ「Boon ☆ ブログ」様より引用させていただきました。

このコードにより、?author=1の引数があればトップページにリダイレクトされるので、ログインIDの表示を防止することができます。

プラグイン（SiteGuard WP Plugin）の導入でさらにセキュリティを強化

次に、WordPressサイトのセキュリティを強化するプラグイン「SiteGuard WP Plugin」を導入について説明します。
このプラグインは、さまざまなセキュリティ機能を提供し、不正なアクセスを防ぐのに効果的です。

SiteGuard WP Pluginのインストール手順

①WordPressの管理画面で「プラグイン」⇒「新規プラグインの追加」をクリックします。

②「SiteGuard」で検索します。

SiteGuard WP Pluginの設定

有効化が完了したら、左サイドメニューの「SiteGuard」をクリックして設定画面に進みます。
基本的にはデフォルト設定で十分です。
私は「フェイルインワンス」機能を追加しました。
フェイルインワンスは、正しいログイン情報を入力しても、最初の試行は失敗扱いになります。
再度、一定時間内にログイン情報を入力することでログインが成功します。
これにより、不正なリスト攻撃に対する防御が強化されます。

まとめ

以上、WordPressのセキュリティ強化策として「ログインIDの非表示設定」と「SiteGuard WP Pluginの導入」を解説しました。WordPressは便利な反面、脆弱性を抱えることもあります。適切なセキュリティ対策を行い、サイト運営に安心感をプラスしましょう。

参考にさせていただいたサイト①
参考にさせていただいたサイト②