説明
SiteGuard WP Plugin は、ログインページと管理ページ /wp-admin/ のセキュリティを強化することで WordPress サイトを保護します。ブルートフォースログイン攻撃、パスワードリスト攻撃、コメントスパム等の攻撃を防御します。
主な機能
- 管理ページアクセス制限:管理ページへのアクセスをログインに成功した IP アドレスからのみに制限します。
- ログインページ変更:ログインページの URL を
wp-login.phpからカスタムパスに変更します。 - 画像認証: ログイン、コメント、パスワードリセット、ユーザー登録フォームに画像認証を追加します。
- ログインロック: ログイン試行が繰り返し失敗した場合、IP アドレスを一時的にロックアウトします。
- ログインアラート: ユーザーのログインをメールで通知します。
- フェールワンス: 1回目の有効なログインを拒否し、2回目のログインを通します。
- XML-RPC 防御: ピンバックもしくはすべての XML-RPC のアクセスをブロックします。
- ユーザー名漏洩防御:
/?author=<number>のようなリクエストからユーザー名の漏洩を防ぎます。 - 更新通知: WordPress コア、プラグイン、テーマの更新が可能になった時、メールで通知します。
- WAF チューニングサポート: WAF (SiteGuard Server Edition) の誤検出が発生する場合に、検出除外ルールを生成します。
要件と互換性
- WordPress のマルチサイトはサポートしていません。
- Apache 1.3、Apache 2.x 、および Nginx をサポートしています。
- 画像認証機能は、PHP 拡張の
mbstringとgdを必要とします。 - WAF チューニングサポート機能は、Apache 環境に SiteGuard Server Edition がインストールされている必要があります。
ドキュメンテーション
より詳細な情報やドキュメント、よくある質問 (FAQ) は、 英語ページ 日本語ページ にあります。
翻訳
このプラグインはコミュニティによって翻訳されています。WordPress 翻訳プラットフォーム での翻訳にご協力いただければ幸いです。
インストール
WordPress のダッシュボードから
- WodPress ダッシュボードの「プラグイン」画面から「プラグインを追加」をクリックする
- “SiteGuard WP Plugin” を検索する
- プラグインをインストールし有効にする
手動インストール
- SiteGuard WP Plugin を検索する
- WodPress ダッシュボードの「プラグイン」画面から「プラグインを追加」をクリックする
- ダウンロード済のファイルをアップロードする
- プラグインをインストールし有効にする
評価
貢献者と開発者
変更履歴
1.8.6
- Rename Login: when the login URL falls back to the .php (stub) form, the settings screen now explains why .htaccess could not be used.
- Rename Login: fixed the .htaccess self-test so it works when WordPress has been given its own directory (the WordPress Address differs from the Site Address).
- Block Author Query: the “Disable REST API” exclusion list now uses REST API namespaces instead of plugin names.
Special thanks to abcdrew and miwarock777 for their contributions to this release.
1.8.5
- Fixed a security issue affecting the login URL protection on some server configurations.
Special thanks to goto5656 for the report.
1.8.4
- Fixed a security issue affecting the login URL protection on some server configurations.
Special thanks to goto5656 for the report.
1.8.3
- Fixed an issue where the cleanup of legacy .htaccess rules (which could lock administrators out of /wp-admin/) did not run on sites that had already updated to 1.8.0 or 1.8.1.
1.8.2
- Fixed an issue where upgrading from 1.7.x to 1.8.x could leave legacy .htaccess rules in place, locking administrators out of /wp-admin/.
Special thanks to t.inoue for the report.
1.8.1
- Fixed a security issue affecting the login URL protection.
1.8.0
- Added support for Nginx and Apache environments that do not use an .htaccess file.
- Improved Login Lock to apply to authentication attempts via XML-RPC.
- Fixed several security issues affecting login URL protection.
- Reviewed and updated the English strings. Special thanks to abcdrew.
Special thanks to Daiki Honda and Daishi Kuroki for their contributions to this release.
Special thanks to Helena Media Research Corporation for the report.
1.7.12
- Fixed an authorization vulnerability in the login history. Special thanks to Ficus Inc.
- Mitigated CAPTCHA authentication failures in some environments.
1.7.11
- Fixed an issue where a syntax error occurred in PHP 5.6 or earlier.
1.7.10
- Fixed a Guessable CAPTCHA vulnerability (CVE-2026-27411). Special thanks to Patchstack.
1.7.9
- Fixed a deprecated notice for the get_currentuserinfo() function.
1.7.8
- Fixed a warning that occurred in version 1.7.7.
1.7.7
- Fixed a bug where the renamed login URL was leaked when wp-register.php was accessed.
1.7.6
- Fixed an issue where a warning occurred on the login screen in PHP 8.x environments.
1.7.5
- Fixed an issue where a fatal error occurred on the Update Notifications screen in PHP 8.x environments.
1.7.4
- Changed the directory for storing CAPTCHA image files to wp-content/siteguard/.
- Fixed some bugs.
1.7.3
- Fixed an issue where password reset emails could not be sent from the admin page when CAPTCHA was enabled.
1.7.2
- Reviewed and modified source code related to security.
1.7.1
- Fixed an issue where a syntax error occurred in PHP 5.6 or earlier.
1.7.0
- Removed the ability to get the client IP address from X-Forwarded-For due to IP spoofing risk.

