不正ログインと対策

セキュリティーアラート WordPress

WordPressの管理画面への不正アクセス事例が多く報告されています。
当社ユーザー様のサイトへの不正アクセスも最近見られるようになりました。
そこで、すぐに出来るセキュリティー対策を掲載します。

Brute Forece Attack とは 

不正アクセス者は「Brute Force Attack」と呼ばれる総当り攻撃をしてきます。
ボット(プログラム)を使ってユーザー名とパスワードの組み合わせを何十万通りも試してきます。

不正アクセスの多くが「admin」+ パスワードという組み合わせで攻撃してきます。
パスワードが強固であれば問題ないはずですが実際に攻撃されるのは気持ちのいいもではありませんし、万が一ということもあります。

また、ネットで流出した、IDとパスワードを使った攻撃も多く、同じパスワードを使いまわしている方は注意が必要です。
私もパスワードは使いまわしています (-_-;)

ペースとなるパスワードは固定で、先頭または後部に2文字程度付加するだけでも違います。

対処方法について

では、不正ログインを防ぐにはどうすればいいのか?

ユーザー名は解りやすいもの避ける

まず、ユーザー名を「admin」以外に設定しましょう。
ユーザー名の変更は「ユーザー名の変更方法について」をご覧ください。
ちなみに下記のようなユーザー名は避けましょう。「admin」に続いて攻撃の多いユーザー名です。

  • admin
  • test
  • administrator
  • Admin
  • root
  • ドメイン名

無料のSSLを導入

これは必須ですがSSLは必ず導入しましょう。
以前はSSLを導入するのに費用がかかるので、そのまま運用することもありました。
現在は無料で使えるようになり、ほとんどのレンタルサーバーで簡単にSSLを設定出来るようになりました。(本当にありがたいです。)
GoogleのガイドラインでもSSL導入は必須項目になっています。
※通販サイトのような個人情報などを扱う場合は上位のSSLを導入が必要になります。

使わない「テーマ」や「プラグイン」は削除する

使っていない「テーマ」や「プラグイン」はそのまま残しても余計なセキュリティーホールの原因となることもあるので削除しましょう。
また、「長期間更新されていない」、「開発が終了した」場合も同様で別のものに変更して削除しましょう。

常に最新バージョンへ更新する

一番重要なのは「Wordpressを最新版にする」です。
単純なようですがバージョンアップにはセキュリティホールの修正とサイバー攻撃からの対処が含まれるものが多いからです。
WordPress本体、テーマ、プラグインを常に最新版に更新して使用していないテーマやプラグインは削除しましょう。
ここまでの作業だけでもかなり違うと思います。

セキュリティープラグインの導入

「結局そうなるか」とは思いますが、この結論に到達します。
10年以上前でしたら「アクセススピード」に大きく影響するプラグインも多かったですが、今はサーバーも良くなり、インターネットの速度も速くなっています。
自分で対処するには限界がありまし、サイトの表示スピードが落ちるリスクよりも不正にアクセスされてしまう方が明らかに問題になります。
セキュリティープラグインなら新しい攻撃方法への対処もしてくれるので、明らかに安全度が違います。
契約サーバーやテーマによっては独自のセキュリティー機能を持っている場合もありますので必要な機能を有したプラグインを選別しましょう。

おすすめセキュリティープラグイン

管理画面、ログイン画面のセキュリティーなら「SiteGuard」

ログイン失敗の回数制限やキャプチャ導入などを細かく設定できる「SiteGuard」はおすすめです。
また、日本で開発されているのも安心感(思い込みですが)があっていいです。
実際に設定画面もわかりやすく作られていると思いました。

ファイアウォール、マルウェア対策なら「Wordfence」

ファイアウォール、マルウェア対策のセキュリティープラグイン「Wordfence」もおすすめです。
設定画面は少しわかりにくい感もありますが、これを導入するだけでほとんどの対策が出来ます。
また、複数のサイトを管理することも出来るのでブログサイトを複数運営する人にもいいと思います。
ログイン画面のセキュリティー機能もあるのですが、私は「SiteGuard」と組み合わせで使ってみるつもりです。
高度なセキュリティーは有料版を使わなければいけませんが無料版でも十分な機能があるので、初期導入で利用し良くなければ、別にものに変えたり、有料版にアップグレードしたりしてもいいと思います。