SiteGuradを導入したけれどイマイチ良い設定が分からない人は多いでしょう。今回はSiteGuardの初期設定の記事を書きます。これで各種設定を理解した上での取捨選択することができます。
SiteGuardの初期設定
Contact Form 7は既に設定済みですが、SiteGurad WP Pluginはまだ初期状態ですので、設定をしていきましょう。
左のメニューから「SiteGuad」を選ぶと設定画面に移動します。
SiteGurad WP Pluginの設定画面に飛ぶと初期値でセキュリティが適用されています。
あおい(管理人)結論的には初期設定のままで良いと思います。
初期値向こうのセキュリティ設定項目
初期設定で有効なものはそのまま有効にしておくとして、初期値が無効な設定に関しては無効のままで本当に大丈夫かという事を確認していきます。
管理ページアクセス制限
この設定は、URLをログインページ変更によって「http(s)://サイトURL/wp-admin/」から「http(s)://サイトURL/login_数字5桁」に変更している場合に影響する項目です。
ログインページ変更ですが、ログイン用のアドレスが変更になるのですが、http(s)://サイトURL/wp-admin/でアクセスしてもhttp(s)://サイトURL/login_数字5桁にリダイレクトされます。そのため、結果的にはほぼセキュリティ的にメリットはありません。
それでは意味がないので活躍するのがこのオプションです。24時間以上開けてからhttp(s)://サイトURL/wp-admin/にアクセスされても404エラーとログインページが見つからないという表示をします。ただし、それならばログインページ変更の初期値でチェックの入っていない「管理者ページからログインページへリダイレクトしない」の設定を使った方が良いです。結果的に管理ページアクセス制限は難しくなるだけなので設定OFFで良いです。
フェールワンス
この機能は正しいパスワードを入れても1回は失敗させるという設定です。セキュリティー的には良いのですが実運用的に煩わしいのでOFFのままで良いです。
ユーザー名漏洩防御
WordPressではユーザーIDによってユーザー名を簡単に割り出すことができます。?author=数字でアクセスすると対応したユーザー名が表示されてしまうためです。ユーザー名が分かってしまえば、パスワードによる保護のみになるため危険度が上がります。
この?author=数字でアクセスしてもユーザー名が分からないようにするのがこの機能です。ユーザー名が不明になる分セキュリティのリスクが下がりますが、個人ブログはパスワードで保護されていれば十分と考えますのでOFFのままでOKです。
WAFチューニングサポート
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されていることが前提になるため、多くの環境では使えないためOFFのままで良いです。
初期値が有効で無効にした方が良いかもしれない設定
初期値が有効で無効にした方が良いかもしれない設定が2つあります。1つ目が「ログインアラート」で2つ目が「更新通知」です。
不正ログインがあったときに知らせてくれるのは便利ですし、自動更新でアップデートを把握しておくのも大切です。しかし、ログインする度及びアップデートが入る度にメールが届くのは煩わしいです。それが嫌であれば、この初期値で有効となっている設定をOFFにするとメールが届かなくなる点が快適です。
あおい(管理人)複数のブログを保有していると更にメールの頻度が上がります。
まとめ
今回は、SiteGuardの初期設定についての記事を書きました。ポイントをまとめると下記の通りとなります。
- SiteGuardの設定は基本的には初期値のままでいい
- ログインページ変更の設定のリダイレクトOFFオプションは有効にする方が良い
- 通知メールが多すぎる場合には、その部分は無効にするのがおススメ
つまり、SiteGuardの初期設定を効率的に行うには初期状態での利用がおすすめです。メールが煩わしい場合は、メールの通知関連を無効にしましょう!
Broken Link Checkerに興味がある人は、下記の記事もチェックしてください。
