乗っ取られてからでは遅い！WordPressのログインのセキュリティを向上

WordPressはBrute Force Attackに弱い
ワードプレスのログインページの懸念点
セキュリティを向上しよう！
まとめ

WordPressはBrute Force Attackに弱い

ソフトウェアの脆弱性に着目する攻撃とは異なり、ブルートフォース攻撃(Brute Force Attack) は、非常に単純な方法でアクセス権を取得しようとしま...

WordPressのログインページはデフォルトの状態だと、特に何も対策がなされておらず、ブルートフォース攻撃 (( ID, Password総当り攻撃 )) の格好の餌食になりかねません。これを機にぜひセキュリティを強化して、安心できるWordPressライフを目指しましょう！

ワードプレスのログインページの懸念点

ブログ上にログインページへのリンクがある

建てたばかりのサイトでは、サイドバーのメタ情報欄にログイン用URLのリンクがブログ上にあります。管理者以外にはまったく無意味なリンクで、ハッカーからすれば簡単にログインページが見つけられてしまいます。

WordPressではログインページがすぐバレる

上記のリンクを削除していたとしても、大体のサイトで/wp-login.php とサイトの末尾に打ち込めばログインページにたどり着けてしまいます。

ログインIDが簡単に分かってしまう

author欄にログインIDが表示されてしまうため、ログインIDが簡単に調べられます。あとはパスワードさえわかればログインできてしまいます。

セキュリティを向上しよう！

というわけで、WordPressの懸念点を払拭すべくセキュリティの向上をしてみましょう。

パスワードを長くする

基本ですね。記号や大文字を組み合わせたりして、ランダムな攻撃に対しての防御力を向上させましょう。

ログインページへのリンクをなくす

外観 -> ウィジェット　ページを開きます。

メタ情報のウィジェットを削除します。

代わりに、テキストウィジェットをはめ込んで自前でRSSへのリンクを記入しましょう。
ちなみに、私の場合はこのように入力しています。

<ul><li><a href="https://fx-kirin.com/feed/">投稿の <abbr title="Really Simple Syndication">RSS</abbr></a></li></ul>

ログインページを独自のURLにする Rename wp-login.php

標準のログインURLからサイト独自なものに変更しましょう。少なくとも、簡単にログインページを見つけるということは避けられます。

WordPress › Rename wp-login.php « WordPress Plugins

Change wp-login.php to anything you want. It can also prevent a lot of brute force attacks.

WordPressプラグインのRename wp-login.phpを追加します。

追加して有効にすると、WordPressの設定のパーマリンク設定のページにログインURL変更用のボックスが追加されています。そこに適応するログイン用URLを入力して変更を保存すれば完了です。

通常のwp-login.phpはもう使えなくなりますので、変更したURLは忘れないようにブックマーク等に保存、メモしておいてくださいね。

表示IDとログインIDを別にする Edit Author Slug

WordPress › Edit Author Slug « WordPress Plugins

Allows an admin (or capable user) to edit the author slug of a user, and change the author base.

Edit Author Slugを導入することで、ログインIDと表示されるIDを別にすることができます。そうすれば、ログインIDが判明してしまうリスクを減らすことができるので、導入をオススメします。

アプリ導入すると、WordPressメニューのユーザーの設定の中に、Author Slugという項目が追加されています。

ユーザの編集を行なえば、Author Slugの設定変更ができます。

ログイン用IDを変える Admin renamer extended

先ほど表示IDの変更方法をご紹介しましたが、表示ID自体は変えたくない人も多いと思います。そういう人は、ログインIDを変更し、表示IDを元のログインIDに変更することで対応しましょう。それは次に紹介するプラグインで可能になります。

WordPress › Admin renamer extended « WordPress Plugins

このプラグインを導入すると、WordPressのプラグインメニューのプラグインに「Admin renamer extended」が追加されます。

このようにアカウントIDの変更が行えるようになります。

ログイン試行のログを記録 Crazy Bone (狂骨)

WordPress › Crazy Bone « WordPress Plugins

Crazy Boneを導入すれば、ログインを試行する度にログを取るようになります。ハッキングを試みられた際に確認できるのでオススメです。

プラグイン導入後に、WordPressのメニューの中にユーザー、ログイン履歴メニューが追加されています。

このようにログが表示されます。

ログインの際にCaptcha認証を追加

ログインの際に、Googleの画像認証を追加することで、Blute Force Attackに対して抜本的な対策を追加することができます。

これについては明日の記事で紹介します。

セキュリティ向上、スパム対策にGoogle Captcaで画像認証！ | Wizard In The Market

昨日からの続きで、ログインページのセキュリティ向上や、コメントスパムの対応策としてGoogle Captchaを利用したプラグインをご紹介します。画像...

ログインの試行回数を制限

一定回数ログインに失敗すると、ログインを規制することができるプラグインがあります。

これについては明後日の記事でご紹介しますね。

ログイン試行回数を制限して、ログインのセキュリティを向上しよう！ | Wizard In The Market

一昨日の記事からの続きで、ログイン関連のセキュリティのプラグインのご紹介です。乗っ取られてからでは遅い！WordPressのログインのセキュリテ...

まとめ

これだけの対策を追加しておけば、ログインページへのBlute Force Attackの対策は十分でしょう。何か他にも「これしたほうがいいよ」ということがあれば、ぜひ教えてくださいね。

ご参考になれば幸いです！