特長
CloudSecure WP Securityは、管理画面とログインURLをサイバー攻撃から守る、国産・日本語対応のセキュリティ対策プラグインです。
かんたんな設定を行うだけで、不正アクセスや不正ログインからあなたのWordPressを保護し、セキュリティが向上します。
また、各機能の有効・無効(ON・OFF)や設定などをお好みにカスタマイズし、いつでも保護状態を管理できます。
主に以下の攻撃に対して有効です。
- 不正ログイン
- 管理画面(/wp-admin/)への不正アクセス
- コメントスパム
よくあるお問い合わせ
ログインできない、変更後のログインURLを忘れてしまったなど、お困りのときはこちらを参照してください。
機能一覧
以下の機能をご利用いただけます。
| ログイン無効化 |
ログイン失敗回数が上限に達した場合、ログインを無効化します。 |
|---|---|
| ログインURL変更 |
ログインURLを変更します。 |
| ログインエラーメッセージ統一 |
ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示します。 |
| 2段階認証 |
ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。 |
| 画像認証追加 |
ログインフォーム、コメントフォームなどに画像認証を追加します。 |
| 管理画面アクセス制限 |
管理画面ディレクトリ以下へのアクセスを制限します。 |
| 設定ファイルアクセス防止 |
WordPressのシステムに関するファイルへの不正アクセスを遮断します。 |
| ユーザー名漏えい防止 |
「?author=数字」でのアクセスによるユーザー名漏えいを防止します。 |
| XML-RPC無効化 |
XML-RPC機能を無効化します。 |
| REST API無効化 |
REST APIを無効化します。 |
| シンプルWAF |
WordPressへの攻撃に対して、基本的な防御機能を備えたシンプルなWAF(Web Application Firewall)機能です。 |
| ログイン通知 |
ログインがあったとき、メールで通知します。 |
| アップデート通知 |
WordPress、プラグイン、テーマの更新が必要になったとき、メールで通知します。 |
| サーバーエラー通知 |
サーバーエラー「HTTPステータスコード500」が発生したとき、エラーを記録し、メールで通知します。 |
| ログイン履歴 |
管理画面にログインした履歴を表示します。 |
ログイン無効化
指定した期間内に指定した回数ログインに失敗した場合、指定した時間ログインを無効化(ブロック)します。
ブルートフォースアタック、パスワードリスト攻撃などの不正ログインを防ぐための機能です。
ログインにくり返し失敗する接続元からのログインを無効にするため、とくに機械的な攻撃に対して有効です。
ログインURL変更
ログインURL(wp-login.php)を変更します。
半角英小文字、半角数字、ハイフン、アンダースコアのいずれかを使用し、4文字以上12文字以下でお好みの名前(文字列)に設定できます。
ブルートフォースアタックやパスワードリスト攻撃など、不正ログインの試行を受けにくくするための機能です。
ログインURL変更により不正ログインを受けにくくなりますが、以下のアクセスはログインURL変更の対象外です。
- XML-RPC(xmlrpc.php)経由でのログイン
- 「http://ホスト名/wp-admin/」を指定してアクセスした場合(変更後のログインURLにリダイレクトします)
後者のリダイレクトを禁止したいときは「管理者ページからログインURLにリダイレクトしない」にチェックを入れるか、管理画面アクセス制限の機能を併用してください。
WordPressのウィジェット「メタ情報」を設置している場合、変更後のログインURLのリンクが表示されます。
「メタ情報」は、WordPressの設定で非表示にできます。
※この機能を使用するには「mod_rewrite」がサーバーにロードされている必要があります。
ログインエラーメッセージ統一
ログインに関するエラーメッセージについて、ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示します。
何を間違えたかわからない(正しく入力されたものを悟られない)ので、ユーザー名の存在を調査する攻撃を受けにくくなります。
2段階認証
ログイン時、ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。
利用するには、Google Authenticator アプリケーションでデバイスを登録する必要があります。
アプリケーションに表示された6桁の認証コードをログイン画面で入力し、すべての情報が一致すればログインできます。
ユーザー名やパスワードを不正入手した第三者によるログインやなりすましを防止し、セキュリティを強化します。
画像認証追加
画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにする機能です。
ログインフォーム、コメントフォーム、パスワードリセットフォーム、ユーザー登録フォームに設定できます。
ブルートフォースアタックやパスワードリスト攻撃などの不正なログインや、コメントスパムを防止します。
管理画面アクセス制限
管理画面にログインしていない接続元IPアドレスから管理ページ(/wp-admin/以降)にアクセスすると、404エラー(Not Found)を返します。
24時間以上管理画面にログインしていない接続元IPアドレスが対象です。
ログインすると接続元IPアドレスが記録され、管理ページにアクセスできるようになります。
この機能を除外するページ(/wp-admin/以下)を指定できます。
※この機能を使用するには「mod_rewrite」がサーバーにロードされている必要があります。
設定ファイルアクセス防止
以下のような設定ファイルへのアクセスを遮断し、403エラーを表示します。
・wp-config.php
WordPressの設定情報やデータベースの情報を記述したファイル
・.htaccess
Webサーバーの設定に関する情報を記述したファイル
ユーザー名漏えい防止
「?author=数字」でのアクセスによるユーザー名の漏えいを防止します。
XML-RPC無効化
XML-RPC機能、またはピンバック機能を無効にし、XML-RPC経由での不正ログインを防ぎます。
ただし、XML-RPC機能を使用したアプリからブログを更新している場合やXML-RPC機能を使用するプラグインが有効な場合、XML-RPC機能全体を無効化しないようご注意ください。
REST API無効化
REST APIの悪用を防ぐため、機能自体を無効化します。
デフォルトでは「oEmbed」「Contact Form 7」「Akismet」を除外プラグインにしています。
※上記プラグインが正常に機能しない可能性があるため。
ほかにも除外プラグインを設定できます。
REST APIによってWordPressの管理画面を経由せずに投稿や編集、更新などができてしまうので、注意が必要です。
シンプルWAF
以下の攻撃を検知するとアクセスを遮断し、403エラーを表示します。
・SQLインジェクション
・クロスサイトスクリプティング
・OSコマンドインジェクション
・コードインジェクション
・メールヘッダインジェクション
また、攻撃の詳細を検知履歴として保存し、管理者のアカウントへメール通知を行います。
ログイン通知
ログインがあったとき、ユーザーにメールで通知します。
心当たりのないメールを受信した場合、不正なログインを疑ってください。
なお、XML-RPCによるログインは通知されません。
アップデート通知
WordPress、プラグイン、テーマの更新が必要になったとき、管理者にメールで通知します。
更新の確認は24時間ごとに行われます。
それぞれの項目をカスタマイズできるので、必要な通知だけ受け取れます。
セキュリティ対策においては、常に最新のバージョンを使用することが重要です。
※「/cron.php」へのhttpアクセスが発生するため、アクセスできない環境では機能を有効化できません。
Basic認証(ベーシック認証 / 基本認証)を設定している場合など、ご注意ください。
サーバーエラー通知
サーバーエラー「HTTPステータスコード500(Internal Server Error)」が発生したとき、エラーの履歴を記録し、管理者にメールで通知します。
※機能を有効にした場合のみ、エラーの履歴を記録します。
1時間以内に同じタイプのエラーが発生した場合、エラーの履歴は記録しますが、メールでの通知は行いません。
ログイン履歴
管理画面にログインした履歴を表示します。
ログインした「日時、ログイン判定、IPアドレス、ログイン種別、ユーザー名」を表示します。
ログイン判定は「成功、失敗、無効」です。
ログイン種別は「ログインページ、XML-RPC」で、通常のログインページから・xmlrpc.php経由、いずれかを判別できます。
各項目で絞り込んでの検索も可能です。