siteguard_wp_plugin_350 SiteGuard WP Plugin
Release 1.7.8
Last update 2024.8.21

2menu_eng_-bk

脆弱性情報

公開日 情報
2024年5月31日 WordPressプラグイン「SiteGuard WP Plugin」における情報漏洩の脆弱性:WPV2024001

特長

SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。
管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。

  • 不正ログイン
  • 管理ページ(/wp-admin/)への不正アクセス
  • コメントスパム

重要なお知らせ

このプラグインは、インストールして有効化すると、自動的にログインページのURLを変更します。
(WordPressのログインページ(wp-login.php)を「login_<5桁の乱数>」に変更します。)

管理画面の「SiteGuard」>「ログインページ変更」をクリックして、新しいログインページを確認してブックマークしてください。

また、新しいログインページのURLを管理者宛のメール(サブジェクト「WordPress: ログインページURLが変更されました」)でお知らせしていますので、あわせてご確認ください。

よくあるお問い合わせ

ログインできない、変更後のログインページ名を忘れてしまったという場合は、こちらを参照してください。

機能一覧

以下の機能があります。

管理ページアクセス制限 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更 ログインページ名を変更します。
画像認証 ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート ログインがあったことを、メールで通知します。
フェールワンス 正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御 XMLRPCの悪用を防ぎます。
ユーザー名漏洩防御 ユーザー名の漏洩を防ぎます。
更新通知 WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポート WAF (SiteGuard Lite)の除外リストを作成します。

管理ページアクセス制限

管理ページへの不正アクセスを防ぐ機能です。ログインしていない接続元IPアドレスからの管理ページ(/wp-admin/以降)へのアクセスは、404エラーになります。ログインすると接続元IPアドレスが記録され、管理ページのアクセスを許可します。

 

24時間以上、ログインしていない接続元IPアドレスは、順次削除されます。設定により、この機能を除外するページ(/wp-admin/以降)を指定することもできます。

ログインページ変更

ブルートフォース攻撃やパスワードリスト攻撃等、不正ログインの試行を受け難くするための機能で、ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

※ログインページ変更により、不正ログインを受け難くなりますが、以下のアクセスはログインページ変更の対象外となります。

  • XML-RPC(xmlrpc.php)経由のログイン
  • http://ホスト名/wp-admin/」を指定してアクセスした場合(変更後のログインページにリダイレクトします。)

後者のリダイレクトを禁止する場合は、オプションの管理者ページからログインページへリダイレクトしないにチェックを入れるか、管理ページアクセス制限の機能を併用してください。

※WordPressのウィジェット「メタ」を設置している場合、ログインページのリンクが表示されます。(ログインページを変更していても、リンクから変更後のログインページが分かる状態となります。)

画像認証

ブルートフォース攻撃、パスワードリスト攻撃等の不正ログインやコメントスパムを防ぐための機能です。画像認証の文字は、ひらがなと英数字が選択できます。

ひらがなの画像認証の例
hiragana_captcha

英数字の画像認証の例
alphanum_captcha

ログインページに画像認証を設けることで、不正ログイン対策はより強固になり、コメント欄の画像認証により、コメントスパムの対策も可能になります。

ログイン詳細エラーメッセージの無効化

ユーザー名の存在を調査する攻撃を受け難くするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても下記のエラーメッセージを表示します。
※ログインロックは、異なるエラーメッセージを出力します。

jp_login_error

ログインロック

ブルートフォース攻撃、パスワードリスト攻撃等の不正ログインを防ぐための機能です。ログインに繰り返し失敗する接続元からのアクセスを禁止するため、特に機械的な攻撃に対して有効です。ユーザーアカウント毎のロックは行いません。 ログインロックの状態になると、以下のエラーメッセージを表示します。

jp_login_lock_error

ログインアラート

不正ログイン対策の補助機能です。ログインすると、ログインユーザーにメールが送信されるため、不正なログインに気付きやすくなります。心当たりのないメールを受信した場合は、不正なログインを疑ってください。

XML-RPCによるログインは通知されません。

フェールワンス

パスワードリスト攻撃を受け難くするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。 1回目のログイン失敗時は、以下のエラーメッセージを表示します。

XMLRPC防御

ピンバック機能、または、XMLRPC機能全体を無効にし、悪用を防ぎます。

XMLRPC経由のブルートフォース攻撃やパスワードリスト攻撃の防御には、XMLRPC機能全体を無効にすると効果があります。しかし、XMLRPC機能を使用したアプリからブログを更新している場合やXMLRPC機能を使用するプラグインが有効である場合には、XMLRPC機能全体を無効化しないでください。

ユーザー名漏洩防御

/?author=<数字>へのアクセスによる、ユーザー名の漏洩を防ぎます。

また、RESTAPIを無効化する機能もあります。(オプション)

更新通知

WordPressのセキュリティ対策では、常に最新のバージョンを使用することが重要です。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

WAFチューニングサポート

WebサーバにWAF(JP-Secure「SiteGuard Lite」)が導入されている場合に、WordPress内での誤検出(正常アクセスで、403エラーが発生する等)を回避するためのルールを作成する機能です。

WAFを使用することで、Webサーバに対する外部からの攻撃(SQLインジェクションやクロスサイトスクリプティング等)を防ぐことができますが、WordPressの機能やプラグインの機能によるアクセスを誤ってブロックする場合があります。
WAFチューニングサポートで除外ルールを作成することで、特定の機能の誤検出を防ぎながら、全体としてのWAFの防御機能を活かすことができます。