SiteGuardプラグインを使ってサイトを保護してみよう!
まずプラグインを追加の項目から「SiteGuard」と検索して、追加してください。
![SiteGuardプラグインをインストールする画面](https://www.pitahex.com/wp-content/uploads/2024/05/f0e659493b36fa5a0cc87affa423b66a-1024x515.png)
有効化すると、ログインページのURLが変わると思うのでブックマークしてください。
もし忘れたとしても、Wordpress直下のディレクトリにある、.htaccessファイルに
こんな感じの記載がしてあると思います。なので忘れた場合は.htaccessファイルを見ると良いでしょう
#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^wp-signup\.php 404-siteguard [L]
RewriteRule ^wp-activate\.php 404-siteguard [L]
RewriteRule ^login_(ここに記載してあります)(.*)$ wp-login.php$1 [L]
</IfModule>
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_END
#==== SITEGUARD_DISABLE_XMLRPC_SETTINGS_START
こんな感じに、画像認証が追加されてると思います。
![SiteGuardプラグインを入れたあとのログイン画面](https://www.pitahex.com/wp-content/uploads/2024/05/89b891cce9a8b20b78fb21ee4ef43603-1024x509.png)
プラグインの設定をしてみよう
標準設定だと少し不十分なところがあるので、一緒に設定をしていきましょう。
![SiteGuardプラグイン管理画面](https://www.pitahex.com/wp-content/uploads/2024/05/453ec38ec068834ff72730573dff2c00-1024x533.png)
ログインページ変更
オプションの
「管理者ページからログインページへリダイレクトしない」を有効化してください。
これは何かというと、ログインしてないユーザーが「サイトURL/wp-admin/」にアクセスすると、
自動でログインページにリダイレクトする機能を無効化するというものです。
必ず有効にしといてください。無効だとログインページのURLを変更している意味がないです。
![SiteGuardプラグイン管理画面 ログインページ変更](https://www.pitahex.com/wp-content/uploads/2024/05/9e26b8b897ef8e45d2dca5f8756a4906-1024x534.png)
ログインロック
下記の画像のような設定にしてください。
これが一番厳しい設定です。
「30秒間、3回ログインに失敗すると、5分間ロックする」
![SiteGuardプラグイン管理画面 ログインロック](https://www.pitahex.com/wp-content/uploads/2024/05/d29690adfcecb1f89ec59ce6796346ea-1024x361.png)
XMLRPC防御
XMLRPCというのは、外部のアプリなどが、WordPressにログインしたり、投稿などをするときに、
使われるAPIです。
しかし現在は変わりにREST APIというのが使われ、XMLRPCは時代遅れになりました。
しかも、XMLRPC経由でログインしようとすると、上記のようにした、
セキュリティ対策が適応されないので、総当たり攻撃し放題で、画像認証もないので、
XMLRPCを使うプラグインを入れていないなら、絶対に無効にしたほうがよいでしょう。
![SiteGuardプラグイン管理画面 XMLRPC保護](https://www.pitahex.com/wp-content/uploads/2024/05/ef4d76a4aa5269a44f9242e054516d31-1024x250.png)
ユーザー名漏えい防御
冒頭でも話した「サイトURL/?author=1」で「サイトURL/author/ユーザー名/」
にリダイレクトさせないようにする設定です
これを有効にしないと、ユーザー名がバレてしまうので、必ず有効にしてください。
また、REST APIも、使うプラグインを除外して、無効化してください。
じゃないとユーザー名がバレます。
![](https://www.pitahex.com/wp-content/uploads/2024/05/b64c52e11b9cb4e60e2e8a5976165f30-1024x203.png)