SiteGuard WP Pluginを追加

第22回で「投稿者情報を非表示」にしました。やはりセキュリティが不安です。素人で対策するにはプラグインしかないと思います。検索などで調べると「SiteGuard WP Plugin」と言うプラグインがあるようです。定番に近くポピュラーなプラグインのようです。ジェイピー・セキュア（JP-Secure）と言う日本の会社製のようです。説明文など分かりやすいです。

SiteGuard WP Plugin

「SiteGuard WP Plugin」をインストールして有効化します。ダッシュボード左から「プラグイン>新規追加」を選択し、キーワード検索してインストール、有効化します。

有効化するとダッシュボード左のパネル下に「SiteGuard」が表示されます。さらに右画面の上部にいきなり「ログインページURLが変更されました。・・・・ブックマークしてください」といきなり表示されます。少し注意が必要です。

「新しいログインページURL・・・」にポインタを合わせて右クリック「リンクのURLをコピー」を選択します。メモ帳などに貼り付けて保存しておきます。実際には管理者へメールでURLを送信されているので不要かも知れませんが念のために。（ブラウザはFireFoxを使用しています）

ポインタを合わすとダッシュボード左の「メニューを閉じる」の下にもアドレスが表示されます。メモを取っても良いと思います。

「設定変更はこちら」を新しいタブで開いて確認します。本来は「管理者ページからログインページへリダイレクトしない」にチェックして「変更を保存」すれば「http://ademo.local/login_92247」がログインのアドレスになります。ログインしていない状態で/wp-admin/にアクセスした場合には「404ページ無し」が表示されるようです。

しかしながら、ここで注意が必要です。
本来はこれで良いのですが、Local by Flywheelの設定でWeb Server 「nginx」になっている場合は動作しません。ローカルでは動作確認ができません。たぶん「この機能を使用するには、mod_rewriteがサーバーにロードされている必要があります。」に適合しないのでしょう。素人なので良く分かりません。よって、ここではログインページ変更は「OFF」にしておきます。

もし、Local by Flywheelの設定がServer nginxの環境でそのまま進んだ場合には、ログイン時にエラーになると思います。自作で「.htaccess」を作成、編集していなければ、C:Users\***Local Sites\****\app\public にある「.htaccess」を削除すれば良さそうです。
一度、ログアウトした後、全ての履歴を削除してLocal by FlywheelのADMINからログイン画面へ進めば良いと思います。もし、エラーが出たらもう一度、ADMINから試してください。私の時は何故か２回目に正常なログイン画面になりました。素人なので理由は分かりません。

設定一覧

ダッシュボード左から「SiteGuard＞ダッシュボード」を選択します。設定状態の一覧が表示されます。

「ログインページ変更」、「更新通知」はチェック外しました。「 管理ページアクセス制限」は元から外れていました。「フェールワンス」はチェック入れた方が良いかもしれません。
詳しくは「ダッシュボード」文字下にあるリンク先のJP-Secure社で確認が出来ます。

画像認証

画像認証だけ確認してみます。「ログインページ、コメントページ、パスワード確認ページ 、ユーザー登録ページ」で画像認証の設定機能があるようです。

ログインページにひらがなの画像認証が追加されています。外国人にはわかり難いでしょう。

SiteGuardのダッシュボードの最下部から「ログイン履歴」を見てみます。以下のように表示されました。ログインに成功した履歴が残っています。

次に、Local by Flywheelの「UTILITIES＞MailHog」から「OPEN MAILHOG」をクリックして受信メールを確認してみます。以下のように「ログイン」「ログインページURLの変更」受信歴がありました。

毎回の「ログイン」の通知は要らないかも知れません。現在はローカルサイトなので無効化でも良いのですが使い慣れるために、当面は以下のような設定に変更しました。

まとめ

セキュリティのためSiteGuard WP Pluginの導入を行いました。ログインページ変更時のログインURLをMailHogの受信メールで確認しました。